Децентрализованная кредитная платформа Polter Finance понесла разрушительный ущерб на блокчейне Fantom, фактически уничтожив большую часть своих активов.
Нарушение, обнаруженное рано утром в воскресенье, связано с манипуляцией механизмами ценообразования токенов платформы, что оставило пользователей в шоке.
Атакующий начал с того, что пропустил средства через Tornado Cash, основанный на Ethereum миксер монет, который скрывает происхождение средств. Эти активы затем были переведены — из Ethereum в сеть Fantom — где была выполнена эксплуатация.
Как только нарушение было выявлено, Polter Finance приняла немедленные меры, приостановив свою платформу, чтобы ограничить ущерб, и уведомила ключевых операторов мостов.
Псевдонимный основатель Polter Finance, известный как «Whichghost», подал заявление в полицию в Сингапуре после нарушения. Хакерская атака привела к убыткам, превышающим 16,1 миллиона SGD (примерно 12 миллионов долларов США).
Новый смарт-контракт, развернутый на платформе, был использован в атаке, что привело к несанкционированным транзакциям, опустошающим активы пользователей, сообщает отчет. Основатель также сообщил о личных убытках в размере 223 219 долларов.
Хотя полицейский отчет утверждает, что общие убытки составляют около 12 миллионов долларов, другие отчеты от веб3 компаний безопасности предполагают, что фактическая сумма украденного была ближе к 7 миллионам долларов.
Согласно данным DeFi Llama, TVL Polter Finance составлял примерно 9,7 миллиона долларов до атаки, что указывает на значительные убытки.
В заявлении в X (бывший Twitter) команда написала: «Мы идентифицировали кошельки, вовлеченные в дело, и проследили их до Binance. Мы все еще расследуем природу эксплуатации. Мы находимся в процессе обращения в органы власти».
Платформа также отправила сообщение в цепочке атакующему, сообщив, что команда будет готова к переговорам без обращения в суд, если украденные средства будут возвращены.
Эксперты по безопасности Web3 считают, что коренная причина эксплуатации была связана с атакой манипуляции ценами с использованием оракулов — внешних источников данных, которые платформы используют для определения цен токенов.
Аудиторская компания смарт-контрактов QuillAudits поделилась своими выводами с Decrypt, которые показывают, что уязвимость была связана с тем, как Polter Finance рассчитывала стоимость токена BOO SpookySwap.
«Цена токена BOO SpookySwap в кредитном пуле определялась по спотовой цене из пула SpookySwap v3 и пары v2; рассчитывалась на основе соотношения баланса токенов в пуле», — сказала QuillAudits в интервью Decrypt.
Искусственно увеличив цену токена BOO, хакер мог внести очень небольшую сумму (всего 1 токен BOO) и вывести гораздо большую сумму других активов, фактически опустошив платформу.
«Этот случай иллюстрирует классическую манипуляцию с помощью Oracle. Цена токена BOO манипулируется злоумышленником с использованием флеш-займа для искусственного завышения цены токена BOO», — сказал Хакан Унал, старший блокчейн-ученый в Cyvers Ai, в интервью Decrypt.
Polter Finance объявила, что с тех пор сотрудничает с Центром анализа и обмена информацией по безопасности (SEAL-ISAC) для поиска хакера.
Этот инцидент добавляет к растущему списку нарушений безопасности в крипто-секторе. Общая сумма убытков от эксплойтов превысила 2 миллиарда долларов только в 2024 году, при этом уязвимости кода привели к убыткам в 39,6 миллиона долларов за 44 инцидента, согласно недавнему отчету Certik.
Отредактировано Стейси Эллиотт.
