DeFi-протокол OneRing Finance взломали на $2 млн

Мультичейн-протокол оптимизации доходности в стейблкоинах OneRing Finance подвергся взлому. Хакер вывел $1,45 млн благодаря использованию мгновенного займа, потери проекта составили около $2 млн.

We got hacked today, a few hours ago OneRing protocol suffered from a flashloan attack that was completely unexpected. Please read:https://t.co/w0Xfl7gChK— OneRing (@Onering_Finance) March 22, 2022

Для выполнения эксплойта злоумышленник разместил специальный смарт-контракт на платформе Fantom. Поскольку скрипт был настроен на самоуничтожение, практически невозможно определить, какие уязвимости были использованы, отметила команда проекта. Для получения хоть какой-то информации она работает с провайдерами нод.

"Это лишь говорит нам о том, что хакер — профессионал, а так как мы оказались единственным взломанным протоколом, атака была тщательно спланированной", — говорится в заявлении.  

Специалисты PeckShield отследили основные шаги инцидента.

3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/FidWcSo3NW— PeckShield Inc. (@peckshield) March 22, 2022

После развертывания смарт-контракта злоумышленник через мгновенный займ занял 80 млн USDC, которые использовал для манипуляций с ценой токена OShare в пуле ликвидности.

После погашения займа его прибыль составила $1 454 672. Из-за комиссий за свопы и оплаты кредита было потеряно еще $500 000. Всего убытки протокола составили почти $2 млн.

Украденные средства хакер перевел из Fantom в Ethereum и сразу отправил в миксер Tornado Cash. Через этот же сервис он пополнил свежесозданный кошелек, который использовал для атаки.

"Это настолько чистый адрес, насколько возможно, а активы, которые сейчас исчезают в Tornado Cash, ограничивают нас в возможности