3月22日消息,Fantom上部署的DeFi應用OneRing Finance遭到攻擊。本次攻擊黑客的地址為Fantom上的0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e。黑客借助部署在0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58上的攻擊合約發起了本次攻擊。由於該合約在特定區塊會自行註銷,這使得外界難以追踪OneRing上具體哪個函數被調用從而引發了本次攻擊。在攻擊中黑客首先利用Celer Network的cBridge通過跨鏈獲得了發起攻擊的GAS。接下來在部署上述攻擊合約後的15分鐘,通過閃電貸向Solidly借到80,000,000USDC,通過推高LP價格,改變了OShare代幣的價格,從協議獲取大量OShare代幣,掏空了OneRing的資產。黑客最終將盜取的資金從Fantom跨鏈轉回到以太坊並最終通過Tornado.Cash套現。在本次攻擊中,Fairyproof發現該協議計算LP價格的方式不合適,本協議使用的計算方式使得LP價格是瞬時價格,因此極易被操縱。
dark
