L’hacker aveva sfruttato il “BondFixedExpiryTeller” del contratto, incapace di convalidare correttamente la richiesta di trasferimento.
La società di sicurezza della blockchain Peckshield ha dichiarato che un hacker che ha sfruttato 30.437 token OHM (per un valore di circa 300.000 dollari) da uno smart contract della DAO Olympus in data odierna ha restituito i fondi alla DAO in due transazioni.
Secondo Peckshield, l’hacker ha sfruttato l’incapacità del contratto “BondFixedExpiryTeller” di convalidare correttamente la richiesta di trasferimento. L’azienda ha continuato: “il contratto BondFixedExpiryTeller di OlympusDAO ha una funzione redeem() che non convalida correttamente l’input, causando una perdita di circa 292.000 dollari. “
Sembra che il contratto BondFixedExpiryTeller di @OlympusDAO abbia una funzione redeem() che non convalida correttamente l’input, con conseguente perdita di ~$292K. https://t.co/dkhC5Ex9sz https://t.co/ikidpLyBga pic.twitter.com/wu5tUrepS6
– PeckShield Inc. (@peckshield) October 21, 2022
Il team OlympusDAO ha confermato l’exploit sul suo canale Discord, rivelando che l’attaccante ha drenato i fondi dal contratto obbligazionario OHM con il protocollo Bond. Il protocollo ha anche dichiarato che il bug non è stato trovato dai suoi revisori e che l’attaccante avrebbe potuto guadagnare molto di più se lo avesse segnalato tramite Immunefi.
Il team ha continuato a sostenere che gli oltre 200 milioni di dollari puntati sulla sua piattaforma erano al sicuro.
Al momento della stampa, OlympusDAO e Bond Protocol non hanno risposto alla richiesta di commenti.
Nel frattempo, la comunità di Olympus ha acclamato l’hacker per essere un white hat.
