0VIX, een leenprotocol op Polygon en Polygon zkEVM, is naar verluidt misbruikt voor minstens $2 miljoen.
Het protocol maakt het mogelijk te lenen tegen meerdere stablecoins, derivaten van Ethereum en Polygon’s native MATIC token, maar ook Aavegotchi’s staked token, vGHST. Aavegotchi is een blockchain gaming project geïnspireerd op het populaire Tamagotchi spel.
De exploit werd uitgevoerd op het vGHST-token.
Officer’s Notes, een onafhankelijke beveiligingsonderzoeker, vertelde aan Decypt dat de aanvallers al $1,4 miljoen in USDC en $600.000 in USDT hebben overgemaakt via het briding protocolStargate Finance terwijl ze proberen om fondsen terug te sturen naar Ethereum en de stablecoins om te zetten naar ETH.
Het 0VIX-team reageerde door de leenmarkten tijdelijk te pauzeren terwijl ze de zaak onderzochten.
0VIX werkt samen met zijn beveiligingspartners om de huidige situatie te onderzoeken die gerelateerd lijkt te zijn aan vGHST.
Als gevolg hiervan zijn de POS en zkEVM markten gepauzeerd, inclusief het pauzeren van oToken transfers, minting en liquidaties.
Alleen POS is momenteel getroffen, maar zkEVM…
– 0VIX | live op zkEVM (@0vixProtocol) April 28, 2023
Blockchain security en data analytics firm, PeckShield, meldde dat de aanvallers een flitslening van $6,12 miljoen in stablecoins hebben afgesloten om de vGSHT lending pool op 0VIX te manipuleren.
Blocksec, een blockchainbeveiligingsbedrijf, bevestigde dat de hackers de geleende stablecoins gebruikten om vGSHT-leenposities te openen en later het koersorakel van het protocol manipuleerden.
Aavegotchi’s native token, GHST, steeg met 24,7% van $ 1,13 naar $ 1,41 in minder dan 30 minuten, volgens CoinGecko.
De onmiddellijke prijsstijging van GHST maakte de vGHST-leenpool insolvent, en de aanvaller liquideerde de pools, en ging er vandoor met het onderpand van de pools.
Dit soort aanvallen worden “price oracle manipulation hacks” genoemd, die veel voorkomen in DeFi kringen.
Aanvallers manipuleren het koersorakel van een laag liquide token, zoals GHST, en blazen de prijs ervan op. Vervolgens ruilt de aanvaller zijn kunstmatig opgeblazen bezit om voor andere tokens met voldoende liquiditeit en een stabiele prijs.
Mango Markets op Solana en bZx exchange op Ethereum en BNB Chain werden met dezelfde techniek gehackt voor respectievelijk $100 miljoen en $55 miljoen.