0VIX, un protocollo di prestito su Polygon e Polygon zkEVM, sarebbe stato sfruttato per almeno 2 milioni di dollari.
Il protocollo consente di prendere in prestito contro più stablecoin, derivati di Ethereum e il token MATIC nativo di Polygon, nonché il token di Aavegotchi, vGHST. Aavegotchi è un progetto di gioco blockchain ispirato al popolare gioco Tamagotchi.
L’exploit è stato effettuato sul token vGHST.
Officer’s Notes, un ricercatore di sicurezza indipendente, ha riferito a Decypt che gli aggressori hanno già trasferito 1,4 milioni di dollari in USDC e 600.000 dollari in USDT tramite il protocollo bridingStargate Finance nel tentativo di trasferire i fondi a Ethereum e convertire le stablecoin in ETH.
Il team di 0VIX ha risposto mettendo temporaneamente in pausa i mercati dei prestiti mentre indagava sulla questione.
0VIX sta lavorando con i suoi partner per la sicurezza per esaminare la situazione attuale che sembra essere legata a vGHST.
Di conseguenza, i mercati POS e zkEVM sono stati messi in pausa, il che include la sospensione dei trasferimenti di oToken, del conio e delle liquidazioni.
Al momento è stato colpito solo il POS, ma zkEVM…
– 0VIX | live su zkEVM (@0vixProtocol) April 28, 2023
La società di sicurezza blockchain e analisi dei dati, PeckShield, ha riferito che gli aggressori hanno contratto un prestito lampo di 6,12 milioni di dollari in stablecoin per manipolare il pool di prestiti vGSHT su 0VIX.
Blocksec, una società di sicurezza blockchain, ha confermato che gli hacker hanno utilizzato le stablecoin prese in prestito per aprire posizioni di prestito vGSHT e successivamente hanno manipolato l’oracolo dei prezzi del protocollo.
Il token nativo di Aavegotchi, GHST, è salito del 24,7% da 1,13 a 1,41 dollari in meno di 30 minuti, secondo CoinGecko.
Grafico del prezzo di GHST. Fonte: CoinGecko
L’istantanea impennata del prezzo del GHST ha reso insolvente il pool di prestiti vGHST, e l’aggressore ha liquidato i pool, facendo man bassa del collaterale dei pool stessi.
Questi tipi di attacchi sono chiamati hack di manipolazione dell’oracolo dei prezzi e sono comuni negli ambienti della DeFi.
Gli aggressori manipolano l’oracolo dei prezzi di un token poco liquido, come GHST, gonfiandone il prezzo. Poi, l’attaccante scambia le sue partecipazioni artificialmente gonfiate con altri token con ampia liquidità e prezzo stabile.
Mango Markets su Solana e bZx exchange su Ethereum e BNB Chain sono stati violati con la stessa tecnica, rispettivamente per 100 milioni di dollari e 55 milioni di dollari.
