Хакеры похитили почти $24 млн из DeFi-протокола Ostium через манипуляцию ценовым оракулом
- DeFi-протокол Ostium подвергся эксплойту, в результате которого злоумышленник похитил около $23,75 млн.
- Хакер воспользовался уязвимостью в механизме обновления ценового оракула.
- Похищенные USDC обменяли на более чем 12 000 ETH, большую часть которых уже перевели через Tornado Cash.
- Команда Ostium приостановила торговлю и начала расследование совместно с правоохранителями и экспертами по кибербезопасности.
DeFi-протокол Ostium подвергся масштабному взлому, в результате которого из публичного пула ликвидности OLP было похищено около $23,75 млн.
По данным исследователей, после атаки злоумышленник обменял все похищенные 23,75 млн USDC на 12 084 ETH по средней цене около $1966 за монету. Впоследствии большую часть Ethereum перевели в криптомиксер Tornado Cash, чтобы скрыть происхождение средств.
Отметим, Ostium — это платформа для синтетических деривативов, где пользователи могут открывать позиции на акции таких компаний, как Tesla, Nvidia или Meta.
Хакер воспользовался уязвимостью ценового оракула
По информации исследовательской компании Coinminutes, причиной атаки стала манипуляция механизмом обновления ценового оракула.
Злоумышленник смог передать смартконтракту фальшивые ценовые данные с будущими временными метками. В результате система ошибочно определила, что трейдер открыл позицию на биткоин по значительно более низкой цене около $5000, а закрыл ее с «космической» прибылью.
Смартконтракт воспринял эту выдуманную прибыль как реальную и автоматически одобрил выплату средств из пула ликвидности. По оценкам исследователей, вся схема — от подмены ценовых данных до вывода активов — была реализована в рамках одной транзакции, что не оставило системе времени на реагирование.
Ostium приостановила
Читать на incrypted.com

