Polter Finance pozbawiono większości funduszy w wyniku masowego wyzysku
Polter Finance, zdecentralizowana platforma pożyczkowa oparta na blockchainie Fantom, 18 listopada padła ofiarą ataku na błyskawiczne pożyczki, w wyniku którego stracono ponad 7 milionów dolarów.
🚨ALERT🚨@PolterFinance zgłosił exploit w łańcuchu #Fantom. Skradziono ponad 7 mln USD w aktywach cyfrowych!
Transakcja: https://t.co/2sFDXiLkpm
💰 Początkowo atakujący był finansowany za pośrednictwem @TornadoCash w sieci #Ethereum, a później środki zostały przelane na konto #Fantom.
Zespół podjął… https://t.co/dYgVzDdsoh pic.twitter.com/N1u5sh7BPf
— 🚨 Alerty Cyvers 🚨 (@CyversAlerts) 18 listopada 2024 r.
Analityk technologii blockchain Nick Franklin potwierdził, że atak był klasycznym przykładem manipulacji ceną przy użyciu mechanizmów ustalania cen tokenów platformy.
Najpierw napastnik przelał środki za pośrednictwem Tornado Cash, mieszalnika monet, który ukrywa pochodzenie środków, a następnie przekazał je do sieci Fantom.
Po dotarciu na Fantom atakujący zmanipulował cenę tokena zarządzającego SpookySwap (BOO) poprzez pożyczenie niemal wszystkich tokenów BOO z puli płynności, co spowodowało gwałtowny wzrost ceny tokena.
Gdy cena wzrosła, atakujący zdeponował zaledwie jeden token BOO i wyczerpał pulę płynności w wysokości 9,1 miliona dolarów w postaci opakowanych tokenów Fantom, zyskując w ten sposób 7,8 miliona dolarów.
Później nastąpiły kolejne ataki, których celem były inne tokeny, w tym Magic Internet Money (MIM), sFTMX, Axelar USDC i Bitcoin.
Szacunki wskazują, że całkowita strata mogła przekroczyć 12 milionów dolarów.
Bardzo, bardzo klasyczny problem z wyrocznią. Jak widać na zdjęciu, cena tokena BOO jest bardzo wysoka. Dlaczego? Cena tokena BOO jest obliczana przy użyciu stanu tokena Spooky LP. Można to łatwo zmanipulować za pomocą flashloan. Na początku ataku haker pożyczył prawie wszystkie tokeny BOO z https://t.co/MGkrsBsmpw pic.twitter.com/kdSJilOdZr
— Nick L. Franklin (@0xNickLFranklin) 18 listopada 2024 r.
Chociaż Franklin nie ujawnił, w jaki sposób atakujący spłacił pożyczkę błyskawiczną, możliwe, że kupił dodatkowe tokeny BOO od innych pul po niższej cenie.
Incydent ten stanowi jaskrawy dowód na to, jakie ryzyko niosą ze sobą platformy bazujące na tokenach o niskiej płynności, które są szczególnie podatne na manipulacje cenami w ekosystemach DeFi.
Polter Finance podjął działania
Po wykryciu naruszenia firma Polter Finance natychmiast wstrzymała działanie swojej platformy, aby zminimalizować dalsze szkody i powiadomiła najważniejszych operatorów mostu.
Założyciel serwisu, działający pod pseudonimem „Whichghost”, złożył zawiadomienie na policji w Singapurze i pozostaje w bezpośrednim kontakcie z napastnikiem, próbując wynegocjować rozwiązanie sprawy.
Poniżej znajduje się raport policyjny dotyczący @polterfinance wykorzystującego $POLTER pic.twitter.com/1PycJIrbZV
— whichghost 💥 | Polter Finance (@whichghost) 17 listopada 2024 r.
Atak, który wynikał z luki w zabezpieczeniach nowo wdrożonego inteligentnego kontraktu platformy, spowodował wyczerpanie zasobów użytkowników, przy czym straty przekroczyły 16,1 mln SGD (około 12 mln USD).
Niektóre firmy zajmujące się bezpieczeństwem Web3 szacują jednak, że rzeczywista kwota skradzionych pieniędzy jest bliższa 7 milionom dolarów.
Oprócz strat platformy, Whichghost osobiście poinformował o stracie w wysokości 223 219 dolarów i zamieścił link do raportu post mortem na Discordzie.
załączam link do post mortem z discorda tutaj https://t.co/peEU6T1H5M
— whichghost 💥 | Polter Finance (@whichghost) 17 listopada 2024 r.
W oświadczeniu opublikowanym na portalu X (dawniej znanym jako Twitter) firma Polter Finance ujawniła, że skradzione środki trafiły do portfeli powiązanych z platformą Binance.
Platforma została wstrzymana wkrótce po wykryciu luki w zabezpieczeniach.
Powiadomiono mosty.
Zidentyfikowaliśmy zaangażowane portfele i powiązaliśmy je z Binance.
Nadal badamy istotę tego ataku.
Jesteśmy w trakcie kontaktowania się z władzami.
— polterfinance💥 (@polterfinance) 17 listopada 2024 r.
Zespół wysłał również atakującemu wiadomość łańcuchową, oferując negocjacje w sprawie zwrotu środków bez podejmowania kroków prawnych.
Nawiązaliśmy formalny kontakt z eksploitorem w sprawie exploita $POLTER. pic.twitter.com/XKrYlahaSx
— polterfinance💥 (@polterfinance) 17 listopada 2024 r.
Ruch ten jest dowodem na wysiłki platformy zmierzające do odzyskania skradzionych aktywów przy jednoczesnym zminimalizowaniu ryzyka eskalacji prawnej.
Eksperci z branży zabierają głos
Eksperci ds. bezpieczeństwa Web3 uważają, że przyczyną ataku była manipulacja cenami z wykorzystaniem wyroczni — zewnętrznych źródeł danych używanych przez platformy do określania wartości tokenów.
Zgodnie z ustaleniami udostępnionymi przez firmę QuillAudits, zajmującą się audytem inteligentnych kontraktów, podatność była związana ze sposobem, w jaki Polter Finance obliczał wartość tokena SpookySwap BOO.
QuillAudits powiedział:
„Cena tokena SpookySwap BOO w puli pożyczkowej została ustalona na podstawie ceny spot z puli SpookySwap v3 i pary v2; obliczona na podstawie współczynnika salda tokenów w puli”.
Dzięki sztucznemu zawyżaniu ceny BOO haker był w stanie wpłacić minimalną kwotę (tylko jeden token BOO) i wypłacić znacznie większe sumy w innych aktywach, skutecznie opróżniając platformę.
Hakan Unal, starszy naukowiec zajmujący się technologią blockchain w Cyvers Ai, zauważył:
„Przypadek ten jest przykładem klasycznego wykorzystania manipulacji Oracle. Cena tokena BOO jest manipulowana przez atakującego za pomocą pożyczki błyskawicznej, aby sztucznie zawyżać cenę tokena BOO”.
W odpowiedzi firma Polter Finance nawiązała współpracę z Security Alliance Information Sharing and Analysis Center (SEAL-ISAC) w celu wyśledzenia napastnika i odzyskania skradzionych środków.
Aktywnie współpracujemy z @cryptogle @_SEAL_Org @MatchSystems, aby znaleźć rozwiązanie problemu z exploitem $POLTER.
Prosimy o zrozumienie, że w tej chwili nie jesteśmy w stanie odpowiedzieć na szczegółowe pytania, ale podamy kolejne ogłoszenie, gdy tylko będzie to możliwe.
— polterfinance💥 (@polterfinance) 18 listopada 2024 r.
