Фінанси Polter вичерпали більшість коштів у результаті масового використання
Polter Finance, платформа децентралізованого кредитування на блокчейні Fantom, 18 листопада зазнала серйозного впливу експлойту швидкої позики, що призвело до втрати понад 7 мільйонів доларів.
🚨ALERT🚨@PolterFinance повідомив про експлойт у мережі #Fantom. Викрадено понад 7 мільйонів доларів цифрових активів!
Трансакція: https://t.co/2sFDXiLkpm
💰 Спочатку зловмисник отримав фінансування через @TornadoCash на #Ethereum, а потім кошти були переведені на #Fantom.
Команда взяла… https://t.co/dYgVzDdsoh pic.twitter.com/N1u5sh7BPf
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 18 листопада 2024 р.
Аналітик блокчейну Нік Франклін підтвердив, що атака була класичним прикладом маніпулювання цінами з використанням механізмів ціноутворення токенів платформи.
Зловмисник спочатку перевів кошти через Tornado Cash, міксер монет, який приховує походження коштів, перш ніж перекинути активи в мережу Fantom.
Опинившись на Fantom, зловмисник маніпулював ціною токена управління SpookySwap (BOO), запозичивши майже всі токени BOO з пулу ліквідності, що спричинило стрибок ціни токена.
Із завищеною ціною зловмисник вніс лише один токен BOO і вичерпав пули ліквідності в розмірі 9,1 мільйона доларів у загорнутих токенах Fantom, отримавши прибуток у 7,8 мільйона доларів.
Послідували подальші атаки, націлені на інші токени, включаючи Magic Internet Money (MIM), sFTMX, Axelar USDC і Bitcoin.
За оцінками, загальна сума збитків може перевищити 12 мільйонів доларів.
Дуже класична проблема оракула. Як видно на зображенні, ціна токена BOO дуже висока. чому Ціна токена BOO розраховується за допомогою стану токена Spooky LP. Цим можна легко маніпулювати за допомогою флешкредиту. На початку атаки хакер запозичив майже всі токени BOO з https://t.co/MGkrsBsmpw pic.twitter.com/kdSJilOdZr
— Нік Л. Франклін (@0xNickLFranklin) 18 листопада 2024 р.
Хоча Франклін не став припускати, як зловмисник повернув флеш-кредит, можливо, вони придбали додаткові токени BOO в інших пулах за нижчою ціною.
Інцидент служить яскравим нагадуванням про ризики, пов’язані з платформами, які покладаються на токени з низькою ліквідністю, які особливо вразливі до маніпулювання цінами в екосистемах DeFi.
Polter Finance вжила заходів
Виявивши порушення, Polter Finance швидко призупинила свою платформу, щоб зменшити подальші збитки, і попередила ключових операторів мосту.
Засновник під псевдонімом, "Whichghost", подав заяву в поліцію в Сінгапурі та підтримував прямий зв’язок із зловмисником, щоб домовитися про вирішення проблеми.
нижче наведено поліцейський звіт про експлойт @polterfinance $POLTER pic.twitter.com/1PycJIrbZV
— котрийпривид 💥 | Polter Finance (@whichghost) 17 листопада 2024 р
Експлойт, який виник через вразливість у нещодавно розгорнутому смарт-контракті платформи, виснажив активи користувачів, а зареєстровані збитки перевищили 16,1 мільйона сингапурських доларів (приблизно 12 мільйонів доларів США).
Однак деякі фірми з безпеки Web3 оцінюють фактичну суму вкраденого ближче до 7 мільйонів доларів.
На додаток до збитків платформи, Whichghost особисто повідомив про збитки в розмірі 223 219 доларів, а також додав посмертне посилання на Discord.
додаючи посмертне посилання з Discord тут https://t.co/peEU6T1H5M
— котрийпривид 💥 | Polter Finance (@whichghost) 17 листопада 2024 р
У заяві, опублікованій на X (раніше відомому як Twitter), Polter Finance показало, що викрадені кошти були відстежені на гаманці, пов’язані з Binance.
Платформу призупинили незабаром після виявлення експлойту.
Повідомили мости.
Ми ідентифікували задіяні гаманці та відстежили їх до Binance.
Ми все ще досліджуємо природу експлойту.
Ми обробляємо контакти з органами влади.
— polterfinance💥 (@polterfinance) 17 листопада 2024 р
Команда також надіслала повідомлення в ланцюжку зловмиснику, пропонуючи домовитися про повернення коштів без судових позовів.
Ми офіційно зв’язуємося з експлуататором через мережу мереж щодо експлойту $POLTER. pic.twitter.com/XKrYlahaSx
— polterfinance💥 (@polterfinance) 17 листопада 2024 р
Цей крок підкреслює зусилля платформи повернути вкрадені активи, мінімізуючи судову ескалацію.
Експерти галузі зважують
Експерти з безпеки Web3 вважають, що експлойт стався в результаті атаки маніпулювання цінами за участю оракулів — зовнішніх каналів даних, які використовуються платформами для визначення вартості токенів.
Згідно з висновками аудиторської компанії QuillAudits, яка розповсюдила смарт-контракт, уразливість була пов’язана з тим, як Polter Finance розрахувала вартість токена SpookySwap BOO.
QuillAudits сказав:
«Ціна токена SpookySwap BOO у пулі кредитування була визначена спотовою ціною з пулу SpookySwap v3 та пари v2; розраховується на основі співвідношення балансу токенів у пулі».
Шляхом штучного завищення ціни BOO хакер зміг внести мінімальну суму (лише один токен BOO) і зняти значно більші суми в інших активах, фактично виснаживши платформу.
Хакан Унал, старший науковий співробітник Cyvers Ai, зазначив:
«Цей випадок є прикладом класичної маніпуляції Oracle. Ціною токена BOO маніпулює зловмисник, використовуючи флеш-позику для штучного завищення ціни токена BOO».
У відповідь Polter Finance співпрацює з Центром обміну та аналізу інформації Альянсу безпеки (SEAL-ISAC), щоб відстежити зловмисника та повернути вкрадені кошти.
Ми активно працюємо з @cryptogle @_SEAL_Org @MatchSystems, щоб знайти рішення для експлойту $POLTER.
Будь ласка, зрозумійте, що зараз ми не можемо відповісти на конкретні запитання, але дамо ще одне оголошення, щойно зможемо.
— polterfinance💥 (@polterfinance) 18 листопада 2024 р
