ハッカーは契約の「BondFixedExpiryTeller」、転送要求を適切に検証できないことを悪用していた。
。
ブロックチェーンセキュリティ企業のPeckshieldは、本日未明にOlympus DAOのスマートコントラクトから3万437個のOHMトークン(およそ30万ドル相当)を搾取したハッカーが、2つの取引でDAOに資金を返却したと発表しました。
Peckshieldによると、ハッカーはコントラクトの「BondFixedExpiryTeller」を悪用し、送金要求を適切に検証することができなかったという。同社は、「関連するOlympusDAOのBondFixedExpiryTeller契約は、入力を適切に検証しないredeem()関数を持っており、結果として〜292Kドルの損失となった」と続けています。
関連する@OlympusDAOのBondFixedExpiryTeller契約には、入力を適切に検証しないredeem()関数があるらしく、その結果~$292Kの損失が発生しているとのことです。https://t.co/dkhC5Ex9sz https://t.co/ikidpLyBga pic.twitter.com/wu5tUrepS6
– PeckShield Inc. (@peckshield) October 21, 2022
OlympusDAOチームは、Discordチャンネルでエクスプロイトを確認し、攻撃者がBond ProtocolでOHMボンド契約から資金を流出させたことを明らかにしました。また、同プロトコルは、監査人によりバグが発見されなかったとし、攻撃者がImmunefi経由で報告すれば、もっと多くの利益を得ることができたと述べています。
同チームは、同社のプラットフォームに賭けられた2億ドル以上の資金は安全であると続けた。
報道時間の時点で、OlympusDAOとBond Protocolからそのコメント要請に対する回答は得られていない。
一方、オリンパスのコミュニティは、このハッカーがホワイトハットであることを歓迎している。