Polter Finance, децентрализованная кредитная платформа, была вынуждена прекратить свою деятельность после взлома, что привело к краже почти всех активов на платформе. Согласно отчету команды основателей, общий предполагаемый ущерб составляет до 16,1 миллиона сингапурских долларов (что эквивалентно 12 миллионам долларов США).



Подробности инцидента:



1. Как атаковать:


• Хакеры воспользовались уязвимостью в механизме ценообразования токена BOO компании Polter Finance, актива, торгуемого на платформе SpookySwap.


• С помощью Oracle Manipulation (атака манипулирования ценами через Oracle) злоумышленники используют флэш-кредиты для завышения цен на токены BOO, а затем выполняют транзакции для вывода большого количества активов с платформы.


2. Атака:


• Первоначально злоумышленник использовал Tornado Cash, инструмент для смешивания монет на Ethereum, чтобы скрыть происхождение средств.


• Затем средства передаются в сеть Fantom, где используются уязвимости безопасности в смарт-контракте.


3. Повреждения:


• По имеющимся данным, хакеры вывели более 7-12 миллионов долларов США, в результате чего TVL (общая заблокированная сумма) Polter Finance снизилась с 9,7 миллионов долларов США до взлома.


• Анонимный основатель Polter, Whichghost, также понес личные убытки в размере примерно 223 219 долларов.


4. Действия от Polter Finance:


• Платформа временно остановила работу, чтобы контролировать ущерб и уведомить поставщиков мостов.


• Полтер отправил хакеру сообщение по цепочке, предлагая договориться о возврате денег без обращения в суд.


• В то же время они работают с SEAL-ISAC, чтобы выследить злоумышленника.



Первопричина:



• По данным аудиторской компании QuillAudits, проблема заключается в том, как Polter Finance рассчитывает цену токена BOO на основе соотношения токенов в парах ликвидности на SpookySwap (v3 и v2).


• Это позволяет злоумышленникам использовать быстрые кредиты для повышения цен BOO и вывода активов на сумму, во много раз превышающую фактическую стоимость.



Влияние и уроки:



1. Влияние криптоиндустрии:


• Этот взлом является ярким примером уязвимостей безопасности на платформах DeFi. Согласно отчету Certik, общие потери от взломов в криптоиндустрии превысили $2 млрд в 2024 году, при этом более 44 инцидентов были связаны с ошибками кода.


2. Урок:


• Небезопасное использование Oracle может привести к серьезным уязвимостям. Перед развертыванием проекты должны проводить тщательный аудит безопасности и оптимизацию смарт-контрактов.



Заключение:



Взлом Polter Finance — это не только предостерегающий урок для разработчиков блокчейнов, но и предупреждает инвесторов о необходимости быть осторожными при участии в платформах DeFi, которые не прошли тщательную проверку.