隨著比特幣(BTC)回穩,11 月走高,以太坊(Ethereum)上的 DeFi 市場也重新開始活絡;然而,這似乎也給駭客們帶來了機會。繼 Akropolis、Value Defi 之後,穩定幣項目 Origin Dollar(OUSD)昨日(17)早晨又再傳攻擊事件,造成至少 700 萬美元的損失,而這已經是本月發生在 DeFi 上的至少第 3 起大型攻擊事件。
(類似案件:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%)
世界協調時間(UTC)週二凌晨 00:47,Origin Dollar 的智能合約遭受重入攻擊(re-entrancy),攻擊者利用閃電貸(Flash Loan)和彈性供應機制(rebase)的漏洞,盜走約 700 萬美元的資金,其中有 100 多萬美元是屬於 Origin Dollar 團隊的。
Origin Dollar 是在今年 9 月於 DeFi 上推出的穩定幣項目,不同於 USDT 直接以美元(法定貨幣)為儲備掛鈎幣值,Origin Dollar 發行的 OUSD 是以 USDT、USDC 和 DAI 這三種不同的穩定幣做支撐,並依據智能合約上的 rebase 機制調整 OUSD 的流通量。
Origin Dollar 共同創辦人 Matthew Liu 昨日發布了緊急通知,證實該協議遭到駭客攻擊的事實。Matthew Liu 強調,這不是一場騙局,Origin Dollar 團隊也正在努力徹查攻擊源頭,並提醒用戶目前已禁用了 vault 存款,暫時不要在 Uniswap 或 SushiSwap 上購買 OUSD。
延伸閱讀:DeFi協議「Akropolis」遭閃電貸攻擊!駭客抽走200萬美元DAI,現暫停穩定幣資金池
Origin Dollars' $OUSD got exploited for $5.5M in ETH, around 11,800 ETH AND $2.2M in DAI
Attack: https://t.co/opyaZY2hjs
Attacker's Address:https://t.co/fkaUqphEqx
Share, stay vigilant pic.twitter.com/xHIdP1Md63
— Krisma (@KRMA_0) November 17, 2020
攻擊經過
根據其描述,攻擊事件源於 Origin Dollar 智能合約上的重入漏洞。Matthew Liu 指出,這按理來說不應該發生,除非其用作儲備的穩定幣資產向 Origin Dollar 協議發出攻擊;而駭客正是利用了一段驗證空白,傳遞假穩定幣(USDT/USDC/DAI)的錯誤資訊。
Matthew Liu 解釋道,駭客是在第一次 OUSD 鑄造事件和第二次鑄造事件發生的中間,即 OUSD 供應量尚未增加以前,利用漏洞創造了一次 rebase 事件。這為協議上的所有人都創造了一次大型 rebase 事件,而攻擊者還額外收到了第一次鑄造事件中的 OUSD,使其持有量甚至多過合約上的資產價值。
攻擊者隨後在 Uniswap 和 SushiSwap 上拋售,換回 USDT。而在後續更新中,Origin Dollar 也查到了攻擊者隨後利用混幣器 Tornado 和 renBTC 等工具,進行洗錢和轉移資金。據了解,其中一個攻擊者錢包還放有 7,137 枚以太幣和 224.9 萬枚 DAI。
致駭客
Matthew Liu 強調,接下來幾天,Origin Dollar 將會採取行動,以彌補用戶的損失,並商討如何補償 OUSD 持有者。CoinGecko 數據顯示,OUSD 於 17 日早上 9 時左右直線下墜,從 1 美元大跌回 0.206 美元,中間一度短暫回升後,至截稿前又落回 0.146 美元,跌幅達 85.3%。
另一方面,Origin Dollar 也對駭客喊話,要求其歸還被盜資產:
致駭客:我們要求您做正確的決定,並退還資金。您已經證明了您作為駭客的卓越技術,而我們也很樂意雇用您作為我們的安全顧問。如果您退還 100% 的資金,我們保證不會繼續追究,也不會採取任何法律行動。我們謙遜地請您考慮到受傷害的數百名無辜者,並退還資金。
📍相關報導📍
最慘打臉!Value DeFi宣稱可防閃電貸隔天被駭600萬,駭客留言:你們真的懂閃電貸?
DeFi安全漏洞|Akropolis 攻擊事件解析:駭客重現「經典重入攻擊」擄走203萬 DAI
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
