DeFi Protocol Olympus DAO blev den seneste til at blive hacket i oktober, da en hacker slugte $300,000 i en større sikkerhedsudnyttelse. Hackeren returnerede midlerne efter en forhandlet aftale, hvor de fik en dusør.
Olympus DAO-hacket er det seneste i en række hacks, der har fundet sted i løbet af den igangværende måned.
Olympus DAO, det seneste offer
Olympus DAO blev det seneste mål for cyberangribere, hvor hackere kom afsted med omkring 30,000 OHM-tokens til en værdi af omkring $300,000 her til morgen. Hackeren ændrede dog sin holdning og returnerede alle midlerne tilbage til DAO få timer senere. Olympus DAO advarede fællesskabsmedlemmer om hacket gennem Discord, hvori
"I morges skete der en udnyttelse, hvorigennem angriberen var i stand til at trække omkring 30 OHM ($300) fra OHM-obligationskontrakten ved Bond Protocol. Denne fejl blev ikke fundet af tre revisorer, ej heller af vores interne kodegennemgang eller rapporteret via vores Immunefi bug-bounty."
Olympus udtalte, at kun en begrænset mængde penge blev sat i fare, og at det stjålne beløb kun var en brøkdel af den dusør på $3.3 millioner, hackeren kunne have krævet gennem Immunefi, hvis de havde rapporteret udnyttelsen.
Detaljer om hacket
Ifølge sikkerhedsfirmaet PeckShield skete angrebet, fordi en protokolkontrakt ikke kunne validere hackerens anmodning om pengeoverførsel. Hackeren brugte den berørte kontrakt, kaldet "BondFixedExpiryTeller", til at åbne obligationer denomineret i Olympus DAO's OHM-tokens. Kontrakten manglede et valideringsinput i "indløs()-funktionen", hvilket gjorde det muligt for hackeren at narre inputværdier for at indløse penge.
"Vi er nødt til at præcisere, at disse IKKE er OlympusDAO-kontrakter. I stedet blev den berørte skrevet af Bond Protocol, som blev brugt til pilotlanceringen af OHM-obligationer."
Olympus DAO erklærede, at det havde lukket alle berørte markeder og understregede, at alle andre fonde var sikre. Olympus DAO-teamet tilføjede også, at det undersøgte måder, hvorpå det kunne kompensere berørte brugere.
Hacker returnerer midler
Blot et par timer senere delte Olympus DAO endnu en opdatering med brugerne, hvori han oplyste, at hackeren havde returneret de stjålne midler til protokollen.
"Midlene er blevet returneret til DAO-pungen. Vi vil kommunikere om OHM-obligationsbetalingen og planlægge fremadrettet i de kommende timer."
Rapporter tyder på, at angriberen enten havde ændret sin holdning, forhandlet en dusør eller var en hacker med hvid hat, der ønskede at fremhæve sårbarheden i protokollen.
Hacktober-måneden
Oktober har set en bølge af hackings, der har rystet krypto- og DeFi-rum. Den 6. oktober, DeFi protokol Sovryn led en stor udnyttelse, hvor hackere drænede 1.1 millioner dollars fra den Bitcoin-baserede decentraliserede finansplatform. Derefter, den 13. oktober, målrettede hackere sig mod Solana-baseret udlånsplatform Mangomarkeder og drænede 117 millioner dollars fra protokollen. Bølgen af hackings fortsatte med BitKeep wallet hack, der så midler til en værdi af 1 million dollars stjålet.
De sidste par dage oplevede to mere betydningsfulde bedrifter, med Moola marked bliver hacket for 9 millioner dollars. Hackeren returnerede dog de fleste af de stjålne midler og valgte at beholde en dusør på $500,000. Det seneste hack, forud for Olympus DAO-hacket, var et angreb på Ethereum vækkeur service, hvilket resulterer i tab til en værdi af $260,000.
Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://cryptodaily.co.uk/2022/10/hacker-siphons-300000-from-olympus-dao-returns-it-hours-later