fbpx

Atak na platformę Opyn – skradziono 371 000 USD

Michał Misiura
platforma defi opyn padła ofiarą ataku Cyberprzestępczość

Do ataku na platformę DeFi Opyn doszło 4 sierpnia około 4 rano czasu pacyficznego. Hakerzy wykorzystali lukę w inteligentnym kontrakcie Ethereum i wycofali środki warte ponad 370 000 USD. 

Jako pierwszy o incydencie poinformował użytkownik Twittera – DegenSpartan. Według jego wersji wydarzeń, hakerzy przeprowadzili podwójny atak na opcje sprzedaży Ethereum, uzyskując dostęp do zabezpieczenia użytkowników sprzedających kontrakty.

Szczegóły ataku

Hakerzy wykorzystali pożyczki błyskawiczne, aby kupić Ethereum Put oTokens (oETH) od zdecentralizowanej giełdy Uniswap. Następnie wybrali jako zabezpieczenie tokeny w standardzie ERC-20 (stablecoiny USD Coin – USDC) i przeprowadzili transakcję. W rezultacie doszło do podwójnego transferu, który ukradł zabezpieczenie, a w portfelu hakerów znalazł się ich depozyt eteru wraz z tokenami USDC.

Jak podano na blogu Opyn:

Ten exploit pozwolił napastnikowi na podwójne wykorzystanie oTokens i kradzież zabezpieczenia złożonego przez niektórych sprzedawców tych ofert.

Aby uniknąć dalszych strat, Opyn odzyskał 439 170 USDC, stanowiących zabezpieczenia w pozostałych ofertach, samodzielnie wykorzystując lukę by następnie zwrócił środki użytkownikom. Platforma usunęła także USDC ze swojego własnego inteligentnego kontraktu oraz tymczasowo wstrzymała sprzedaż oTokens. Z uwagi na fakt, że protokół opcji Opyn jest całkowicie zdecentralizowany, jego kierownictwo ma ograniczone pole do działania.

Wymiar strat

Opyn podaje na swoim blogu, że szacuję straty na 371 260 USDC, ale nie wyklucza, że ostateczny rachunek może okazać się większy.  Skradzione tokeny należały do użytkowników platformy. Firma zaoferowała poszkodowanym odkupienie ich oTokens z 20% marżą, aby zrekompensować straty. Wciąż ustalany jest sposób zwrócenia środków w przypadku dotkniętych atakiem, którzy nie posiadają tego rodzaju aktywów.

Opyn obiecał poprawić zabezpieczenia platformy oraz protokołu, a także zapowiada zwiększenie nagród bug bounty dla zewnętrznych programistów. Kierownictwo przeprowadzi również dodatkowe audyty inteligentnych kontraktów.