去中心化借贷平台Polter Finance在Fantom区块链上遭遇了一次毁灭性的攻击,基本上抹去了大部分资产。
该漏洞于周日早些时候被发现,涉及平台代币定价机制的操纵,令用户感到震惊。
攻击者首先通过Tornado Cash转移资金,这是一个以太坊基础的币混合器,可以隐藏资金的来源。这些资产随后被桥接——从以太坊转移到Fantom网络——在那里执行了攻击。
一旦发现漏洞,Polter Finance立即采取行动,暂停其平台以遏制损害,并通知关键桥接操作员。
Polter Finance的匿名创始人“Whichghost”在新加坡提交了警察报告,因该漏洞造成的损失超过1610万新加坡元(约1200万美元)。
报告称,平台上新部署的智能合约被利用,导致未经授权的交易耗尽用户资产。创始人还报告了个人损失为223,219美元。
尽管警察报告声称总损失约为1200万美元,但来自Web3安全公司的其他报告表明,实际被盗金额更接近700万美元。
根据DeFi Llama的数据,Polter Finance在攻击前的总锁仓价值约为970万美元,表明损失相当可观。
在X(前Twitter)上的声明中,团队写道:“我们识别了涉及的钱包,并追踪到Binance。我们仍在调查攻击的性质。我们正在联系当局。”
该平台还向攻击者发送了链上消息,表示如果被盗资金归还,团队愿意在不追究法律责任的情况下进行谈判。
Web3安全专家认为,攻击的根本原因与使用oracle的价格操纵攻击有关——平台用以确定代币价格的外部数据源。
智能合约审计公司QuillAudits与Decrypt分享了他们的发现,显示该漏洞与Polter Finance计算SpookySwap BOO代币的价值有关。
“借贷池中SpookySwap BOO代币的价格是由SpookySwap v3池和v2对的现货价格决定的;根据池中的代币余额比例计算,”QuillAudits告诉Decrypt。
通过人为提高BOO代币的价格,黑客可以存入很少的金额(仅1个BOO代币)并提取更多其他资产,有效地耗尽平台的资金。
“这个案例展示了经典的Oracle操纵利用。BOO代币的价格被攻击者通过闪电贷款操纵,以人为地抬高BOO代币的价格,”Cyvers Ai的高级区块链科学家Hakan Unal告诉Decrypt。
Polter Finance宣布,自那时以来,已与安全联盟信息共享与分析中心(SEAL-ISAC)合作,追踪黑客。
这一事件增加了加密行业日益增长的安全漏洞列表。仅在2024年,因这些漏洞损失的总金额已超过20亿美元,代码漏洞导致44起事件造成3960万美元的损失,根据最近的Certik报告。
编辑:Stacy Elliott。
