时间:2023-08-25|浏览:173
OriginProtocol的稳定币OUSD已被黑客入侵,用户资金已经出现流失。我们正在积极调查这个问题,请参考我们即将更新的博客文章以获取最新权威信息。
在过去三个小时中,我们对该攻击有了更多了解,并跟踪了从OUSD金库到攻击者钱包的资金流动情况。
我们正在采取积极的措施以追回资金,包括与交易所和其他第三方合作,尝试识别攻击者身份并冻结资金,以防止清算。
我们已经追踪了资金,并知道攻击者同时使用了TornadoCash和renBTC来洗钱和转移资金。
目前,攻击者的一个钱包中还有7137 ETH和224.9万DAI。
此次攻击的交易信息可以在以下链接找到(最早的攻击交易):
https://etherscan.io/tx/0xe1c76241dda7c5fcf1988454c621142495640e708e3f8377982f55f8cf2a8401
以下是关于这次攻击的一些摘要信息:
- 这次攻击是由于我们合约中存在的一个再入漏洞导致的。事实上,除非通过我们支持的一种稳定币向我们发起攻击,否则我们的合约是安全的,不会受到再入漏洞的影响。 - 攻击者利用了一个缺失的验证检查,在铸造OUSD时通过多种稳定币传递了假的“稳定币”。然后,该“稳定币”被Vault调用“transferFrom”,使黑客能够通过再入攻击攻击合约。 - 在资金从第一次大额铸币转移到OUSD并在OUSD供应增加之前,攻击者能够在第二次铸币期间创建一个rebase事件。这为合约中的每个人(包括攻击者)创造了巨大的rebase。然后,攻击者还收到了他们的第一次大额OUSD铸币,使他们所获得的OUSD总数超过合约拥有的资产。 - 攻击者从OUSD中提取了大部分稳定币。 - 然后,他们在将OUSD兑换成USDT后,在Uniswap和Sushiswap上继续提取OUSD。
目前,资金损失约为700万美元,其中包括Origin和我们的创始人及员工存入的超过100万美元资金。我们将继续努力工作,直到确定利用该漏洞的原因以及是否能够找回这些资金。我们致力于解决这个问题。
我们已禁用金库中的存款。之后,我们将发布一份详细的交易分析报告。
接下来的几天里,我们将采取详细的措施,以追回失去的用户资金,并讨论受影响的OUSD持有者的补偿计划。请注意,不要在Uniswap或Sushiswap上购买OUSD,因为当前价格不能反映出OUSD的基础资产。
对于黑客,我们要求您做正确的事情并退还资金。您已经展示了出色的黑客技能,我们乐意雇佣您我们保证不会追究您或采取任何法律行动。我们诚挚地请求您考虑对数百名无辜者所造成的伤害,并退还资金。
最后,我们要感谢更广大的区块链社区。在这个艰难时期,我们得到了投资者、DeFi工程师和安全专家等的大力支持。我们非常感谢帮助我们进一步分析攻击、追踪资金并可能识别攻击者的小组。我们的团队表示感谢。
原文标题:《本周第4起闪电贷攻击事件,OriginProtocol官方发文回顾攻击过程》
原文来源:OriginProtocol
用戶喜愛的交易所
已有账号登陆后会弹出下载
非小号行情