Le pirate avait exploité le « BondFixedExpiryTeller » du contrat, incapable de valider correctement la demande de transfert.
La société de sécurité blockchain Peckshield a déclaré qu’un pirate qui a exploité 30 437 jetons OHM (d’une valeur d’environ 300 000 $) du contrat intelligent d’une DAO Olympus plus tôt dans la journée a rendu les fonds à la DAO en deux transactions.
Selon Peckshield, le pirate a exploité l’incapacité du contrat « BondFixedExpiryTeller » à valider correctement la demande de transfert. La société poursuit : « Le contrat BondFixedExpiryTeller de OlympusDAO possède une fonction redeem() qui ne valide pas correctement les données d’entrée, ce qui entraîne une perte de 292 000 dollars ».
Il semble que le contrat BondFixedExpiryTeller de @OlympusDAO possède une fonction redeem() qui ne valide pas correctement l’entrée, ce qui entraîne une perte de 292 000 $. https://t.co/dkhC5Ex9sz https://t.co/ikidpLyBga pic.twitter.com/wu5tUrepS6
– PeckShield Inc. (@peckshield) October 21, 2022
L’équipe OlympusDAO a confirmé l’exploit sur son canal Discord, révélant que l’attaquant a drainé les fonds du contrat d’obligations OHM avec le protocole Bond. Le protocole a également déclaré que le bug n’a pas été trouvé par ses auditeurs, et que l’attaquant aurait pu gagner beaucoup plus s’il l’avait signalé via Immunefi.
L’équipe a poursuivi en affirmant que les plus de 200 millions de dollars misés sur sa plateforme étaient en sécurité.
Au moment de mettre sous presse, OlympusDAO et Bond Protocol n’ont pas répondu à notre demande de commentaire.
Pendant ce temps, la communauté Olympus a salué le hacker pour son comportement de white hat.
