Protokol DeFi Olympus DAO menjadi yang terbaharu digodam pada bulan Oktober, apabila seorang penggodam menyedut $300,000 dalam eksploitasi keselamatan utama. Penggodam itu memulangkan dana berikutan perjanjian yang dirundingkan yang menyaksikan mereka memperoleh hadiah.
Penggodaman Olympus DAO adalah yang terbaru dalam beberapa penggodaman yang telah berlaku pada bulan yang sedang berjalan.
Olympus DAO, Mangsa Terkini
Olympus DAO menjadi sasaran terbaharu penyerang siber, dengan penggodam mengeluarkan kira-kira 30,000 token OHM bernilai sekitar $300,000 pagi ini. Walau bagaimanapun, penggodam telah berubah hati dan mengembalikan semua dana kepada DAO hanya beberapa jam kemudian. Olympus DAO memaklumkan ahli komuniti tentang penggodaman melalui Discord, dengan menyatakan,
“Pagi ini, eksploitasi berlaku di mana penyerang dapat menarik balik kira-kira 30K OHM ($300K) daripada kontrak bon OHM di Protokol Bon. Pepijat ini tidak ditemui oleh tiga juruaudit, mahupun oleh semakan kod dalaman kami, atau dilaporkan melalui hadiah pepijat Immunefi kami."
Olympus menyatakan bahawa hanya sejumlah dana yang terhad diletakkan pada risiko dan jumlah yang dicuri hanyalah sebahagian kecil daripada hadiah $3.3 juta yang boleh dituntut oleh penggodam melalui Immunefi sekiranya mereka melaporkan eksploitasi itu.
Butiran Peretasan
Menurut firma keselamatan PeckShield, serangan itu berlaku kerana kontrak protokol gagal mengesahkan permintaan pemindahan dana penggodam. Penggodam menggunakan kontrak yang terjejas, dipanggil "BondFixedExpiryTeller," untuk membuka bon dalam denominasi token OHM Olympus DAO. Kontrak itu tidak mempunyai input pengesahan dalam "fungsi tebus()", membenarkan penggodam menipu nilai input untuk menebus dana.
“Kami perlu menjelaskan bahawa ini BUKAN kontrak OlympusDAO. Sebaliknya, yang terjejas telah ditulis oleh Protokol Bon, yang digunakan untuk pelancaran perintis bon OHM."
Olympus DAO menyatakan bahawa ia telah menutup semua pasaran yang terjejas dan menekankan bahawa semua dana lain adalah selamat. Pasukan Olympus DAO juga menambah bahawa ia sedang meneroka cara bagaimana ia boleh memberi pampasan kepada pengguna yang terjejas.
Penggodam Mengembalikan Dana
Hanya beberapa jam kemudian, Olympus DAO berkongsi kemas kini lain dengan pengguna, menyatakan bahawa penggodam telah mengembalikan dana yang dicuri kepada protokol.
“Dana telah dikembalikan ke dompet DAO. Kami akan berkomunikasi mengenai pembayaran bon OHM dan merancang untuk bergerak ke hadapan dalam beberapa jam akan datang.”
Laporan mencadangkan bahawa penyerang sama ada telah berubah hati, berunding dengan hadiah atau penggodam topi putih yang ingin menyerlahkan kelemahan dalam protokol.
Bulan Hacktober
Oktober telah menyaksikan gelombang penggodaman yang menggegarkan ruang crypto dan DeFi. Pada 6 Oktober, protokol DeFi Sovryn mengalami eksploitasi besar, dengan penggodam menghabiskan $1.1 juta daripada platform kewangan terdesentralisasi berasaskan Bitcoin. Kemudian, pada 13 Oktober, penggodam menyasarkan platform pinjaman berasaskan Solana Pasar Mangga dan menghabiskan $117 juta daripada protokol. Gelombang penggodaman diteruskan dengan BitKeep penggodaman dompet yang menyaksikan dana bernilai $1 juta dicuri.
Beberapa hari lalu menyaksikan dua eksploitasi yang lebih ketara, dengan Pasar Moola digodam untuk $9 juta. Walau bagaimanapun, penggodam memulangkan sebahagian besar dana yang dicuri, memilih untuk menyimpan hadiah $500,000. Hack terbaharu, sebelum hack Olympus DAO, adalah serangan ke atas Perkhidmatan Jam Penggera Ethereum, mengakibatkan kerugian bernilai $260,000.
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2022/10/hacker-siphons-300000-from-olympus-dao-returns-it-hours-later