Хакер использовал «BondFixedExpiryTeller» контракта, неспособность правильно подтвердить запрос на перевод.
Блокчейн-компания Peckshield сообщила, что хакер, который ранее сегодня использовал 30 437 токенов OHM (стоимостью около $300 000) из смарт-контракта Olympus DAO, вернул эти средства DAO двумя транзакциями.
Согласно Peckshield, хакер использовал «BondFixedExpiryTeller» контракта, неспособный должным образом подтвердить запрос на перевод. Фирма продолжила: «Связанный с OlympusDAO контракт BondFixedExpiryTeller имеет функцию redeem(), которая не проверяет входные данные должным образом, что привело к потере ~$292K. «
Похоже, что связанный контракт @OlympusDAO‘s BondFixedExpiryTeller имеет функцию redeem(), которая не проверяет входные данные должным образом, что привело к потере ~$292K. https://t.co/dkhC5Ex9sz https://t.co/ikidpLyBga pic.twitter.com/wu5tUrepS6
— PeckShield Inc. (@peckshield) Октябрь 21, 2022
Команда OlympusDAO подтвердила эксплойт на своем канале Discord, сообщив, что злоумышленник вывел средства из облигационного контракта OHM с помощью протокола Bond Protocol. Протокол также заявил, что ошибка не была обнаружена его аудиторами, и злоумышленник мог бы заработать гораздо больше, если бы сообщил о ней через Immunefi.
Команда продолжала утверждать, что более 200 миллионов долларов, поставленных на ее платформу, находятся в безопасности.
На момент публикации мы не получили от OlympusDAO и Bond Protocol ответа на просьбу о комментарии.
Между тем, сообщество Olympus приветствовало хакера за то, что он оказался «белой шляпой».