Fantom 生态稳定币收益优化器 OneRing Finance 在 21 日遭遇闪电贷攻击,导致超过 145 万美元被盗、总损失 200 万美元。OneRing Finance 稍早发布公告,针对此事故提出四大应对方案,包括承诺将为受害者制定中长期还款计划,以及将提供被盗资金 15 、100 万颗 OneRing Finance 原生代币 RING 作为骇客偿还资金的赏金。背景补充:解析闪电贷》今年DeFi被盗最高破12亿镁,去中心化金融成骇客敛财神器?
公链 Fantom 生态稳定币收益优化器 OneRing Finance 在今日稍早发布公告,证实已遭遇骇客攻击,一名骇客在 UTC 时间 21 日下午 6 时 44 分台湾时间 22 日凌晨 2 时 44 分通过闪电贷攻击成功窃取了1454672244369 颗 USDC 。
OneRing Finance 是一个在 Fantom 、Polygon 上运行的生态稳定币收益优化器项目,据 DefiLlama 数据,在骇客攻击事故发生前,OneRing 总锁仓价值TVL在 21 日达到 448 万美元的新高,不过在骇客事故发生后,OneRing 总锁仓价值现已急挫至 121 万美元,跌幅超过 72 。
OneRing 总锁仓价值TVL。Source:DefiLlamaOneRing Finance 表示,骇客建立了一个特定合约来执行此次漏洞攻击,而且合约已被设定为在特定区块自我销毁,因此几乎不可能追踪到 OneRing Finance 合约中是哪些特定功能被骇客调用、以窃取资金,这表明骇客是专业人士,而且攻击是有计划的。
骇客攻击手法
OneRing Finance 指出,在此次攻击中,骇客地址首先利用 Celer Network 的 cBridge ,跨链获得发起攻击的 GAS,接着骇客在部署攻击合约的 15 分钟后,透过闪电贷向 Solidly 借到 8000 万颗 USDC,借由推高 LP 价格,改变了 OShare 代币价格,然后从协议中获取大量 OShare 代币,掏空 OneRing 的资产。
BitGet中文官网骇客闪电贷攻击。Source:OneRing Finance区块链安全公司 Fairyproof 认为,OneRing Finance 协议计算 LP 价格的方式不合适,使 LP 价格是瞬时价格,因此极易被操纵。OneRing Finance 表示,这次骇客攻击造成了 145 万 467224 美元的损失;然而,Swap 费用和闪电贷费用还造成另外 50 万美元的损失,因此,协议总共约损失了 200 万美元。
OneRing Finance 指出,骇客最终将盗取的资金从 Fantom 跨链转回到以太坊,然后又转移至 TornadoCash ,这使得资金流向难以追踪,不过 OneRing 正在联系一切交易所和组织,以阻止骇客可能的套现举措,OneRing 并承诺将努力追踪到这名骇客。
骇客盗取资金流向。Source:OneRing Finance四大应对方案
针对此次骇客攻击,OneRing Finance 透过公告宣布了四大应对方案,包括暂停保险库,分析、调试、修复漏洞,通过协议财库还款,以及提供骇客返还资金的赏金,OneRing Finance 强调,该团队正在许多方面修复代码、重新部署智能合约、推进还款计划,并且重新开始建设。
OneRing Finance 的应对方案如下:
1 保险库状态:OneRing Finance 的保险库已经暂停,团队正在重新设置保险库。2 分析、除错、修复:OneRing Finance 已工作了很多小时,来修复允许骇客执行这次攻击的问题,团队已与许多合格开发者、协议合作,以除错协议中所有的代码,协议有漏洞是完全出乎意料的,甚至对一些高级开发人员来说也是如此,因为他们以前审查过 OneRing Finance 的代码。3 通过协议财库还款:团队正在制定一项方案,为受影响者提供一个具体的中长期还款计划。4 提供赏金:团队将提供被盗资金的 15 以及 100 万颗 RING 代币,作为骇客返还资金的赏金。
RING 代币急挫逾 20
OneRing Finance 强调,RING 代币安全无虞,并且并未卷入骇客此次攻击,所有的流动性池都没有受到影响,只有 oShare 代币被漏洞攻击,而 OneRing Finance 在 Fantom 链上的许多流动性挖矿如以往一样安全,Spookyswap、 Spiritswap、 Beethoven 等协议也都可以安全使用。
尽管如此,RING 代币的价格却受到此次骇客攻击的波及。Coinmarketcap 数据显示,原本在 105 美元附近的 RING ,自骇客事故发生后就不断下挫,至截稿前,报 0838 美元,近 24 小时跌幅达 207。
RING 代币走势图。 Source:Coinmarketcap
相关报导
解析闪电贷》今年DeFi被盗最高破12亿镁,去中心化金融成骇客敛财神器?Cream Finance第三度遭闪电贷攻击、损失 13 亿美元,骇客留下神秘讯息Indexed Finance 找到1600万镁闪电贷攻击骇客,下最后通牒仍未现身!LINE 与 Messenger 不定期为大家服务
Tags OneRing FinanceRING闪电贷攻击