DeFi-протокол OneRing Finance взломали на $2 млн

Мультичейн-протокол оптимизации доходности в стейблкоинах OneRing Finance подвергся взлому. Хакер вывел $1,45 млн благодаря использованию мгновенного займа, потери проекта составили около $2 млн. We got hacked today, a few hours ago OneRing protocol suffered from a flashloan attack that was completely unexpected. Please read:https://t.co/w0Xfl7gChK— OneRing (@Onering_Finance) March 22, 2022 Для выполнения эксплойта злоумышленник разместил специальный смарт-контракт на платформе Fantom. Поскольку скрипт был настроен на самоуничтожение, практически невозможно определить, какие уязвимости были использованы, отметила команда проекта. Для получения хоть какой-то информации она работает с провайдерами нод. "Это лишь говорит нам о том, что хакер — профессионал, а так как мы оказались единственным взломанным протоколом, атака была тщательно спланированной", — говорится в заявлении.   Специалисты PeckShield отследили основные шаги инцидента. 3/ To illustrate, we use the hack tx and show the key steps below pic.twitter.com/FidWcSo3NW— PeckShield Inc. (@peckshield) March 22, 2022 После развертывания смарт-контракта злоумышленник через мгновенный займ занял 80 млн USDC, которые использовал для манипуляций с ценой токена OShare в пуле ликвидности. После погашения займа его прибыль составила $1 454 672. Из-за комиссий за свопы и оплаты кредита было потеряно еще $500 000. Всего убытки протокола составили почти $2 млн. Украденные средства хакер перевел из Fantom в Ethereum и сразу отправил в миксер Tornado Cash. Через этот же сервис он пополнил свежесозданный кошелек, который использовал для атаки. "Это настолько чистый адрес, насколько возможно, а активы, которые сейчас исчезают в Tornado Cash, ограничивают нас в возможности связаться с биржами и любыми сторонами для предотвращения вывода средств хакером", — отметила команда OneRing. Разработчики подчеркнули, что пострадал только пул ликвидности OShare на платформе Fantom. Остальные средства находятся в безопасности, однако все операции с хранилищем проект приостановил. В OneRing заверили, что работают над планом возмещения. Команда протокола предложила хакеру 15% украденных средств плюс 1 млн нативных токенов RING за возврат, хотя и назвала такое развитие событий "маловероятным". На фоне взлома котировки монеты проекта снизились с уровней около $0,93 до отметок вблизи $0,82. Данные: DEX Screener. Напомним, в марте неизвестный атаковал DeFi-проект Deus Finance DAO с помощью мгновенных займов и заработал около $3 млн. Злоумышленник также взломал протоколы Agave и Hundred Finance, убытки которых составили приблизительно $11 млн.