DeFi-протокол OneRing Finance взломали на $2 млн

Мультичейн-протокол оптимизации доходности в стейблкоинах OneRing Finance подвергся взлому. Хакер вывел $1,45 млн благодаря использованию мгновенного займа, потери проекта составили около $2 млн.

We got hacked today, a few hours ago OneRing protocol suffered from a flashloan attack that was completely unexpected. Please read:https://t.co/w0Xfl7gChK

— OneRing (@Onering_Finance) March 22, 2022

Для выполнения эксплойта злоумышленник разместил специальный смарт-контракт на платформе Fantom. Поскольку скрипт был настроен на самоуничтожение, практически невозможно определить, какие уязвимости были использованы, отметила команда проекта. Для получения хоть какой-то информации она работает с провайдерами нод.

«Это лишь говорит нам о том, что хакер — профессионал, а так как мы оказались единственным взломанным протоколом, атака была тщательно спланированной», — говорится в заявлении.  

Специалисты PeckShield отследили основные шаги инцидента.

3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/FidWcSo3NW

— PeckShield Inc. (@peckshield) March 22, 2022

После развертывания смарт-контракта злоумышленник через мгновенный займ занял 80 млн USDC, которые использовал для манипуляций с ценой токена OShare в пуле ликвидности.

После погашения займа его прибыль составила $1 454 672. Из-за комиссий за свопы и оплаты кредита было потеряно еще $500 000. Всего убытки протокола составили почти $2 млн.

Украденные средства хакер перевел из Fantom в Ethereum и сразу отправил в миксер Tornado Cash. Через этот же сервис он пополнил свежесозданный кошелек, который использовал для атаки.

«Это настолько чистый адрес, насколько возможно, а активы, которые сейчас исчезают в Tornado Cash, ограничивают нас в возможности связаться с биржами и любыми сторонами для предотвращения вывода средств хакером», — отметила команда OneRing.

Разработчики подчеркнули, что пострадал только пул ликвидности OShare на платформе Fantom. Остальные средства находятся в безопасности, однако все операции с хранилищем проект приостановил.

В OneRing заверили, что работают над планом возмещения.

Команда протокола предложила хакеру 15% украденных средств плюс 1 млн нативных токенов RING за возврат, хотя и назвала такое развитие событий «маловероятным».

На фоне взлома котировки монеты проекта снизились с уровней около $0,93 до отметок вблизи $0,82.

Напомним, в марте неизвестный атаковал DeFi-проект Deus Finance DAO с помощью мгновенных займов и заработал около $3 млн. Злоумышленник также взломал протоколы Agave и Hundred Finance, убытки которых составили приблизительно $11 млн.