Polter Finance đã rút hết hầu hết tiền trong vụ khai thác lớn

Polter Finance, một nền tảng cho vay phi tập trung trên blockchain Fantom, đã bị ảnh hưởng nghiêm trọng bởikhai thác khoản vay flash vào ngày 18 tháng 11, gây thiệt hại hơn 7 triệu đô la.

Nhà phân tích Blockchain Nick Franklin xác nhận rằng cuộc tấn công là một ví dụ điển hình về giáthao tác sử dụng cơ chế định giá mã thông báo của nền tảng.

Kẻ tấn công đầu tiênchuyển tiền thông qua Tornado Cash, một công cụ trộn tiền giúp che giấu nguồn gốc của tiền , trước khi kết nối tài sản với mạng Fantom.

Một lần trên Fantom,kẻ tấn công đã thao túng giá của mã thông báo quản trị SpookySwap (BOO) bằng cách vay gần như toàn bộ mã thông báo BOO từ nhóm thanh khoản, khiến giá của token tăng đột biến.

Khi giá tăng cao, kẻ tấn công chỉ gửi một token BOO và rút hết 9,1 triệu đô la tiền thanh khoản trong token Fantom được đóng gói, thu về 7,8 triệu đô la.

Các cuộc tấn công tiếp theo nhắm vào các token khác, bao gồm Magic Internet Money (MIM), sFTMX, Axelar USDC và Bitcoin.

Người ta ước tính tổng thiệt hại có thể lên tới hơn 12 triệu đô la.

Trong khi Franklin không suy đoán về cách kẻ tấn công trả thùcho vay nhanh , có khả năng họ đã mua thêm token BOO từ các nhóm khác với giá thấp hơn.

Sự cố này là lời nhắc nhở nghiêm túc về những rủi ro liên quan đến các nền tảng dựa vào token có tính thanh khoản thấp, đặc biệt dễ bị thao túng giá trong hệ sinh thái DeFi.

Polter Finance đã hành động

Sau khi phát hiện ra vi phạm, Polter Finance đã nhanh chóng tạm dừng nền tảng của mình để giảm thiểu thiệt hại thêm và cảnh báo các nhà điều hành cầu chính.

Người sáng lập ẩn danh, "Whichghost", đã nộp báo cáo cảnh sát vàoSingapore và đã ở tronggiao tiếp trực tiếp với kẻ tấn công trong nỗ lực đàm phán giải pháp .

Lỗ hổng này xuất phát từ lỗ hổng trong hợp đồng thông minh mới triển khai của nền tảng, đã làm cạn kiệt tài sản của người dùng, với mức thiệt hại được báo cáo vượt quá 16,1 triệu đô la Singapore (khoảng 12 triệu đô la Mỹ).

Tuy nhiên, một số công ty bảo mật Web3 ước tính số tiền thực tế bị đánh cắp lên tới gần 7 triệu đô la.

Ngoài khoản lỗ của nền tảng, Whichghost đã đích thân báo cáo khoản lỗ 223.219 đô la và đính kèm liên kết báo cáo sự việc trên Discord.

Trong một tuyên bố được đăng trênX (trước đây gọi là Twitter) Polter Finance tiết lộ rằng số tiền bị đánh cắp đã được truy tìm đến các ví được liên kết với Binance.

Cácnhóm cũng đã gửi một tin nhắn trên chuỗi cho kẻ tấn công, đề nghị đàm phán trả lại tiền mà không cần hành động pháp lý.

Động thái này nhấn mạnh nỗ lực của nền tảng nhằm thu hồi tài sản bị đánh cắp đồng thời giảm thiểu leo ​​thang pháp lý.

Các chuyên gia trong ngành cân nhắc

Các chuyên gia bảo mật Web3 tin rằng việc khai thác bắt nguồn từ mộttấn công thao túng giá liên quan đến các oracle—nguồn cấp dữ liệu bên ngoài được các nền tảng sử dụng để xác định giá trị mã thông báo.

Theo những phát hiện được chia sẻ bởi công ty kiểm toán hợp đồng thông minh QuillAudits, lỗ hổng này liên quan đến cách Polter Finance tính toán giá trị của token SpookySwap BOO.

QuillAudits đã nói:

“Giá của token SpookySwap BOO trong nhóm cho vay được xác định theo giá giao ngay từ nhóm SpookySwap v3 và cặp v2; được tính toán dựa trên tỷ lệ số dư token trong nhóm.”

Bằng cách làm tăng giá BOO một cách giả tạo,tin tặc có thể gửi một số tiền tối thiểu (chỉ một token BOO) và rút số tiền lớn hơn đáng kể ở các tài sản khác, về cơ bản là làm cạn kiệt nền tảng.

Hakan Unal, Nhà khoa học Blockchain cấp cao tại Cyvers Ai, lưu ý:

“Trường hợp này minh họa cho một khai thác thao túng Oracle cổ điển. Giá token BOO bị kẻ tấn công thao túng bằng cách sử dụng khoản vay flash để thổi phồng giá token BOO một cách giả tạo.”

Để ứng phó, Polter Finance đã hợp tác với Trung tâm phân tích và chia sẻ thông tin của Liên minh an ninh (SEAL-ISAC) để truy tìm kẻ tấn công vàthu hồi số tiền bị đánh cắp.