Platforma de împrumuturi descentralizată Polter Finance a suferit un exploit devastator pe blockchain-ul Fantom, ștergând practic majoritatea activelor sale.
Breșa, descoperită devreme duminică, a implicat manipularea mecanismelor de stabilire a prețului token-ului platformei, lăsând utilizatorii să șocheze.
Atacatorul a început prin a dirija fonduri prin Tornado Cash, un mixer de monede bazat pe Ethereum care ascunde originea fondurilor. Aceste active au fost apoi transferate - transferate de la Ethereum la rețeaua Fantom - unde a fost executat exploit-ul.
Odată ce breșa a fost identificată, Polter Finance a luat măsuri imediate prin suspendarea platformei pentru a limita daunele și a notificat operatorii cheie de poduri.
Fondatorul pseudonim al Polter Finance, cunoscut sub numele de “Whichghost,” a depus o plângere la poliție în Singapore după breșă. Hacking-ul a dus la pierderi de peste 16,1 milioane SGD (aproximativ 12 milioane USD).
Contractul inteligent nou implementat pe platformă a fost exploatat, provocând tranzacții neautorizate care au drenat activele utilizatorilor, spune raportul. Fondatorul a raportat, de asemenea, pierderi personale de 223.219 dolari.
TK Deși raportul poliției afirmă pierderi totale de aproximativ 12 milioane de dolari, alte rapoarte din partea firmelor de securitate web3 sugerează că suma reală furată a fost mai aproape de 7 milioane.
Conform datelor DeFi Llama, TVL-ul Polter Finance era de aproximativ 9,7 milioane de dolari înainte de atac, indicând pierderi substanțiale.
Într-o declarație pe X (fost Twitter), echipa a scris, “Am identificat portofelele implicate și le-am urmărit până la Binance. Încă investigăm natura exploit-ului. Suntem în proces de contactare a autorităților.”
Platforma a trimis, de asemenea, un mesaj pe blockchain atacatorului, spunând că echipa ar fi dispusă să negocieze fără a urmări acțiuni legale dacă fondurile furate sunt returnate.
Experții în securitate Web3 consideră că cauza principală a exploit-ului a fost legată de un atac de manipulare a prețului utilizând oracole - fluxuri externe de date pe care platformele le folosesc pentru a determina prețurile token-urilor.
Firma de audit a contractelor inteligente QuillAudits a împărtășit constatările lor cu Decrypt, care arată că vulnerabilitatea a fost legată de modul în care Polter Finance a calculat valoarea token-ului SpookySwap BOO.
“Prețul token-ului SpookySwap BOO în piscina de împrumuturi a fost determinat de prețul spot din piscina SpookySwap v3 și perechea v2; calculat pe baza raportului de sold al token-ului din piscină,” a declarat QuillAudits pentru Decrypt.
Prin creșterea artificială a prețului token-ului BOO, hackerul putea depune o sumă foarte mică (doar 1 token BOO) și să retragă o sumă mult mai mare de alte active, drenând efectiv platforma de fonduri.
“Această situație exemplifică un exploit clasic de manipulare a oracolelor. Prețul token-ului BOO este manipulat de atacator prin utilizarea unui împrumut flash pentru a inflama artificial prețul token-ului BOO,” a declarat Hakan Unal, Senior Blockchain Scientist la Cyvers Ai, pentru Decrypt.
Polter Finance a anunțat că a colaborat cu Centrul de Analiză și Partajare a Informațiilor în Securitate (SEAL-ISAC) pentru a urmări hackerul.
Acest incident se adaugă la lista tot mai mare de încălcări ale securității în sectorul cripto. Suma totală pierdută din exploatări a depășit 2 miliarde de dolari doar în 2024, cu vulnerabilități de cod care au dus la pierderi de 39,6 milioane de dolari în 44 de incidente, conform unui raport recent Certik.
Editat de Stacy Elliott.
