mt logoMyToken
Market cap:
0%
FGI:
0%
Cryptocurrencies:--
Exchanges --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

OnyxProtocol受黑客攻击损失218万美元分析

Collect
Share

来源:Beosin

2023年11月1日,Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,OnyxProtocol的oPEPE市场合约遭受黑客攻击,黑客获利约218万美元。

相关地址:https://eagleeye.space/address/0x085bDfF2C522e8637D4154039Db8746bb8642BfF

有趣的是OnyxProtocol协议是CompoundV2 的一个分支,早在2022年4月15日,HundredFinance也因为同样的漏洞遭受了700万美元的损失。本次Beosin带您来回顾一下该漏洞。

事件相关信息

●攻击交易

0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635

●攻击者地址

0x085bdff2c522e8637d4154039db8746bb8642bff

●攻击合约

0x526e8e98356194b64eae4c2d443cc8aad367336f

0xf8e15371832aed6cd2741c572b961ffeaf751eaa

0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb

0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c

0x414764af57c43e36d7e0c3e55ebe88f410a6edb6

0xcede81bb4046587dad6fc3606428a0eb4084d760

●被攻击合约

0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750

0x9dcb6bc351ab416f35aeab1351776e2ad295abc4

漏洞分析

本次攻击主要是黑客利用了舍入和汇率操控的问题,击穿了项目方的代码防线。

攻击流程

攻击准备阶段:

1.攻击者借入4000枚WETH作为攻击准备资金。

2.攻击者将借入的WETH兑换出约2.52万亿PEPE。

3.然后将2.52万亿PEPE分别转入0xf8e1,0xdb91等多个地址,自此攻击准备阶段完成。

攻击阶段:

1.攻击者获取少量oPEPE,并将PEPE打入oPEPE市场,增加oPEPE市场中PEPE的余额从而操控oPEPE的汇率。

2.攻击者从其他的市场恶意借出资金大量以太坊。

3.由于舍入和汇率操纵,攻击者使用少量oPEPE清算借贷并赎回捐赠的资金。

4.攻击者重复上述步骤,最终将PEPE换回ETH并归还闪电贷,从而获利1156ETH。

资金追踪

截止发文时,Beosin Trace追踪发现被盗资金已大全部转入Tornado cash。

总结

针对本次事件,Beosin安全团队建议: 1.使用储备账本记录资产借贷情况;2.扩展精度,减少由于算术运算导致的误差;3. 项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

Disclaimer: The copyright of this article belongs to the original author and does not represent MyToken(www.mytokencap.com)Opinions and positions; please contact us if you have questions about content