Буквально вчера был совершен очередной взлом протокола DeFi, в результате которого, проект понес многомиллионные убытки, а пользователи потеряли свои вложенные средства в flash-loans.
Подробнее о взломе Origin Protocol.
Origin Protocol, это один из новых defi протоколов, который стал жертвой атаки через функционал флэш-кредитования (flash-loan). Атака, произошедшая рано утром во вторник, 17 ноября, привела к исчезновению стейблкоинов OUSD в размере 7.7 миллионов долларов через токены ETH и DAI. Подтверждая факт атаки, один из лидеров проекта заявил, что в настоящее время они работают с биржами над идентификацией злоумышленников, а также заморозили токены до их ликвидации.
Стоит отметить, что атака по протоколу произошла вслед за аналогичным инцидентом с проектом Value Defi 14 ноября, где преступникам удалось украсть токенов на 6 миллионов долларов. Объясняя произошедшую атаку в посте блога Origin Protocol на Medium’е, соучредитель Origin Protocol Мэтью Лю утверждает, что им удалось отследить движение украденных средств вплоть до кошелька мошенника.
Он также сообщает, что злоумышленник "использовал и Tornado Cash, и Renbtc для отмывания и перевода средств". По словам Лю, "по-прежнему 7 137 токенов ETH и более 2.249 миллионов токенов DAI находятся в одном из кошельков злоумышленника" - https://etherscan.io/address/0xb77f7bbac3264ae7abc8aedf2ec5f4e7ca079f83
Мошенники воспользовались OUSD, выведя их, затем продавали на платформах Uniswap и Sushiswap за USDT в последующих сделках.
Хотя команда Origin Protocol и заявляет что достигли прогресса в понимании атаки и отслеживании движения средств, тем не менее они предупреждают, что если пользователи до сих пор обеспечивают ликвидность в Sushiswap, то им следует в срочном порядке выводить из него свои средства. Кроме того, они рекомендуют не осуществлять покупки, продажи стейблкоина OUSD на данный момент.
После атаки 17 ноября стоимость токенов Origin Protocol OUSD упала и составила $0.15. До обвала цены актив умеренно торговался наравне с долларом.
Несмотря на то, что команда Origin Protocol считала их контракты безопасными. По словам Лю, "атака была совершена с использованием уязвимости в нашем контракте".
Сейчас, команда Origin Protocol намерена провести "тщательный анализ транзакций". Команда также просит злоумышленников вернуть украденные средства. Забавно конечно, но навряд ли они станут возвращать средства только по просьбе их вернуть…
Тенденция взломов DeFi протоколов повышается.
Еще в Октябре этого года был взломан проект Harvest Finance, в результате чего было потеряно $24 миллиона долларов. Тогда злоумышленник нацелился на пулы ликвидности протокола, совершив арбитражную атаку с использованием крупного флеш-кредита. Примечательно, что за последние дни в Дефай сегменте произошло несколько достаточно крупных утечек средств пользователей в различных токенах и стейблкоинах. Буквально в четверг, 12-ого Ноября, атаке подвергся defi протокол Akropolis, в результате чего проект потерял порядка 2 миллионов долларов. Злоумышленник использовал пул Ycurve и продавал на нем средства партиями по $50,000 в стейблкоинах DAI. Затем был взлом Value DeFi, когда их хранилище MultiStables подверглось сложной атаке, которая привела к чистым убыткам в 6 миллионов долларов.
Вообще большинство подобных атак сегодня возможны, потому что многие смарт-контракты DeFi основываются на внешних смарт-контрактах, когда речь заходит о извлечении данных, таких как цена. И даже те проекты, которые прошли серьезный аудит, доказали свою подверженность атакам через функционал флэш-кредитов и его уязвимости. Разработчикам стоит более серьезно отнестись к безопасности средств и уже начинать разрабатывать решения, иначе тенденция компрометации DeFi отрасли будет продолжать расти куда сильнее.