Мультичейн-протокол оптимизации доходности в стейблкоинах OneRing Finance подвергся взлому. Хакер вывел $1,45 млн благодаря использованию мгновенного займа, потери проекта составили около $2 млн.
We got hacked today, a few hours ago OneRing protocol suffered from a flashloan attack that was completely unexpected. Please read:https://t.co/w0Xfl7gChK
— OneRing (@Onering_Finance) March 22, 2022Для выполнения эксплойта злоумышленник разместил специальный смарт-контракт на платформе Fantom. Поскольку скрипт был настроен на самоуничтожение, практически невозможно определить, какие уязвимости были использованы, отметила команда проекта. Для получения хоть какой-то информации она работает с провайдерами нод.
"Это лишь говорит нам о том, что хакер — профессионал, а так как мы оказались единственным взломанным протоколом, атака была тщательно спланированной", — говорится в заявлении.
Специалисты PeckShield отследили основные шаги инцидента.
3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/FidWcSo3NW
— PeckShield Inc. (@peckshield) March 22, 2022После развертывания смарт-контракта злоумышленник через мгновенный займ занял 80 млн USDC, которые использовал для манипуляций с ценой токена OShare в пуле ликвидности.
После погашения займа его прибыль составила $1 454 672. Из-за комиссий за свопы и оплаты кредита было потеряно еще $500 000. Всего убытки протокола составили почти $2 млн.
Украденные средства хакер перевел из Fantom в Ethereum и сразу отправил в миксер Tornado Cash. Через этот же сервис он пополнил свежесозданный кошелек, который использовал для атаки.
"Это настолько чистый адрес, насколько возможно, а активы, которые сейчас исчезают в Tornado Cash, ограничивают нас в возможности связаться с биржами и любыми сторонами для предотвращения вывода средств хакером", — отметила команда OneRing.
Разработчики подчеркнули, что пострадал только пул ликвидности OShare на платформе Fantom. Остальные средства находятся в безопасности, однако все операции с хранилищем проект приостановил.
В OneRing заверили, что работают над планом возмещения.
Команда протокола предложила хакеру 15% украденных средств плюс 1 млн нативных токенов RING за возврат, хотя и назвала такое развитие событий "маловероятным".
На фоне взлома котировки монеты проекта снизились с уровней около $0,93 до отметок вблизи $0,82.
Напомним, в марте неизвестный атаковал DeFi-проект Deus Finance DAO с помощью мгновенных займов и заработал около $3 млн. Злоумышленник также взломал протоколы Agave и Hundred Finance, убытки которых составили приблизительно $11 млн.