Платформа децентрализованного кредитования Polter Finance подверглась разрушительной атаке на блокчейн Fantom, по сути уничтожив большую часть ее активов.
Нарушение, обнаруженное рано утром в воскресенье, включало манипулирование механизмами ценообразования токенов платформы, повергнув пользователей в шок.
Злоумышленник начал с перенаправления средств через Tornado Cash, миксер монет на базе Ethereum, который скрывает происхождение средств. Затем эти активы были перенесены из Ethereum в сеть Fantom, где и был реализован эксплойт.
Как только нарушение было выявлено, Polter Finance немедленно приняла меры, приостановив работу своей платформы, чтобы сдержать ущерб, и уведомила ключевых операторов моста.
Псевдонимный основатель Polter Finance, известный как «Whichghost», подал заявление в полицию Сингапура после взлома. В результате взлома убытки превысили 16,1 миллиона сингапурских долларов (около 12 миллионов долларов США).
В отчете говорится, что недавно развернутый на платформе смарт-контракт был использован, что привело к утечке несанкционированных транзакций пользовательских активов. Основатель также сообщил о личных потерях в размере 223 219 долларов.
Т.К. Хотя в полицейском отчете говорится, что общие потери составляют около 12 миллионов долларов, другие отчеты фирм, занимающихся безопасностью Web3, предполагают, что фактическая сумма украденных была ближе к 7 миллионам долларов.
По данным DeFi Llama, TVL Polter Finance перед атакой составлял примерно 9,7 миллиона долларов, что указывает на существенные потери.
В заявлении на X (ранее Twitter) команда написала: «Мы определили вовлеченные кошельки и отследили их до Binance. Мы все еще расследуем природу эксплойта. Мы находимся в процессе обращения к властям».
Платформа также отправила злоумышленнику сообщение по цепочке, в котором говорилось, что команда будет готова вести переговоры без судебного иска, если украденные средства будут возвращены.
Эксперты по безопасности Web3 считают, что основная причина эксплойта связана с атакой манипулирования ценами с использованием оракулов — внешних источников данных, которые платформы используют для определения цен на токены.
Фирма по аудиту смарт-контрактов QuillAudits поделилась своими выводами с Decrypt, которые показывают, что уязвимость связана с тем, как Polter Finance рассчитала стоимость токена SpookySwap BOO.
«Цена токена SpookySwap BOO в кредитном пуле определялась спотовой ценой из пула SpookySwap v3 и пары v2; рассчитывается на основе соотношения баланса токенов в пуле», — рассказал QuillAudits Decrypt.
Искусственно увеличивая цену токена BOO, хакер может внести очень небольшую сумму (всего 1 токен BOO) и вывести гораздо большее количество других активов, эффективно опустошая платформу.
«Этот случай является примером классической манипуляции Oracle. Злоумышленник манипулирует ценой токена BOO, используя флэш-кредит для искусственного завышения цены токена BOO», — рассказал Decrypt Хакан Унал, старший научный сотрудник по блокчейну в Cyvers Ai.
Polter Finance объявила, что с тех пор сотрудничает с Центром обмена информацией и анализа безопасности Альянса безопасности (SEAL-ISAC), чтобы выследить хакера.
Этот инцидент пополняет растущий список нарушений безопасности в криптосекторе. Согласно недавнему отчету Certik, общая сумма потерь от эксплойтов превысила 2 миллиарда долларов только в 2024 году, при этом уязвимости кода привели к убыткам в 39,6 миллиона долларов в результате 44 инцидентов.
Ежедневный информационный бюллетень
Начните каждый день с главных новостей прямо сейчас, а также с оригинальных статей, подкастов, видеороликов и многого другого.