公链Fantom生态稳定币收益优化器OneRing Finance在今日稍早发布公告,证实已遭遇骇客攻击,一名骇客在UTC时间21日下午6时44分(北京时间22日凌晨2时44分)通过闪电贷攻击成功窃取了1454672.244369枚USDC。
OneRing Finance是一个在Fantom、Polygon上运行的生态稳定币收益优化器项目,据DefiLlama数据,在骇客攻击事故发生前,OneRing总锁仓价值(TVL)在21日达到448万美元的新高,不过在骇客事故发生后,OneRing总锁仓价值现已急挫至121万美元,跌幅超过72%。
OneRing Finance表示,骇客建立了一个特定合约来执行此次漏洞攻击,而且合约已被设定为在特定区块自我销毁,因此几乎不可能追踪到OneRing Finance合约中是哪些特定功能被骇客调用、以窃取资金,这表明骇客是专业人士,而且攻击是有计划的。
骇客攻击手法
OneRing Finance指出,在此次攻击中,骇客地址首先利用Celer Network的cBridge,跨链获得发起攻击的GAS,接着骇客在部署攻击合约的15分钟后,通过闪电贷向Solidly借到8000万枚USDC,借由推高LP价格,改变了OShare代币价格,然后从协议中获取大量OShare代币,掏空OneRing的资产。
区块链安全公司Fairyproof认为,OneRing Finance协议计算LP价格的方式不合适,使LP价格是瞬时价格,因此极易被操纵。OneRing Finance表示,这次骇客攻击造成了145万4672.24美元的损失;然而,Swap费用和闪电贷费用还造成另外50万美元的损失,因此,协议总共约损失了200万美元。
OneRing Finance指出,骇客最终将盗取的资金从Fantom跨链转回到以太坊,然后又转移至Tornado.Cash,这使得资金流向难以追踪,不过OneRing正在联系一切交易所和组织,以阻止骇客可能的套现举措,OneRing并承诺将努力追踪到这名骇客。
四大应对方案
针对此次骇客攻击,OneRing Finance通过公告宣布了四大应对方案,包括暂停保险库,分析、调试、修复漏洞,通过协议财库还款,以及提供骇客返还资金的赏金,OneRing Finance强调,该团队正在许多方面修复代码、重新部署智能合约、推进还款计划,并且重新开始建设。
OneRing Finance的应对方案如下:
1.保险库状态:OneRing Finance的保险库已经暂停,团队正在重新设置保险库。
2.分析、除错、修复:OneRing Finance已工作了很多小时,来修复允许骇客执行这次攻击的问题,团队已与许多合格开发者、协议合作,以除错协议中所有的代码,协议有漏洞是完全出乎意料的,甚至对一些高级开发人员来说也是如此,因为他们以前审查过OneRing Finance的代码。
3.通过协议财库还款:团队正在制定一项方案,为受影响者提供一个具体的中长期还款计划。
4.提供赏金:团队将提供被盗资金的15%以及100万枚RING代币,作为骇客返还资金的赏金。
RING代币急挫逾20%
OneRing Finance强调,RING代币安全无虞,并且并未卷入骇客此次攻击,所有的流动性池都没有受到影响,只有oShare代币被漏洞攻击,而OneRing Finance在Fantom链上的许多流动性挖矿如以往一样安全,Spookyswap、Spiritswap、Beethoven等协议也都可以安全使用。
尽管如此,RING代币的价格却受到此次骇客攻击的波及。Coinmarketcap数据显示,原本在1.05美元附近的RING,自骇客事故发生后就不断下挫,至截稿前,报0.838美元,近24小时跌幅达20.7%。