Протокол Ribbon Finance, ранее известный как Aevo, потерял $2,7 млн, которые были выведены из старого контракта и переведены на пятнадцать отдельных кошельков.
По данным экспертов по кибербезопасности, атака произошла всего через шесть дней после того, как платформа обновила свою инфраструктуру оракулов и процедуры создания опционов. Злоумышленники использовали смарт-контракт для получения цифровых активов.
Аналитик по Web3-безопасности Лийи Чжоу сказал, что вредоносный контракт манипулировал стеком оракулов Opyn/Ribbon, злоупотребляя прокси-серверами для передачи данных о ценах, и вводил произвольные цены с истечением срока действия для wstETH, AAVE, LINK и WBTC в общий оракул с отметкой времени истечения срока действия.
Злоумышленник открыл крупные короткие позиции по oToken в MarginPool Ribbon Finance, который использовал эти поддельные цены истечения срока действия в своём расчётном конвейере и перевёл сотни WETH и wstETH, тысячи USDC и несколько WBTC на адреса для кражи с помощью транзакций redeem и redeemTo, — объяснил Чжоу.
За шесть дней до атаки команда Ribbon Finance обновила систему ценообразования Oracle, чтобы она поддерживала 18 десятичных знаков для stETH, PAXG, LINK и AAVE. Однако другие активы, в том числе USDC, по-прежнему имели восьмизначную точность. По словам Чжоу, это разница в десятичной точности и стала причиной уязвимости.
RU @happycoinnews EN @happycoinnews_en
Источник