OVIX, isang Polygon-based lending protocol, kamakailan ay dumanas ng malaking pag-urong matapos matamaan ng pagsasamantala na nagkakahalaga ng platform ng hindi bababa sa $2 milyon.
Bilang tugon, OVIX pansamantalang itinigil ang POS at zkEVM operations nito habang nagtatrabaho ito upang matugunan ang isyu at mabawasan ang epekto sa mga user nito.
Ang panghihimasok ay unang iniulat ng blockchain security company na CertiK, at kalaunan ay pinatunayan ng Arkham Intelligence.
Pinapayagan ng OVIX protocol ang paghiram laban sa iba’t ibang stablecoin, kabilang ang mga Ethereum derivatives at ang katutubong MATIC token ng Polygon, pati na rin ang staked token ng Aavegotchi, vGHST.
Inaaangkin ni Arkham na sinasadyang itinaas ng mapagsamantala ang presyo ng vGHST upang makakuha ng malaking USDC sa mga pautang. Sa sandaling nasa Ethereum (ETH) mainnet, ipinagpalit ng hacker ang mga stablecoin sa 757 ETH.
Ginamit ng nanghihimasok ang mga hiniram na stablecoin upang makakuha ng access sa vGHST lending pool at ang OVIX lending platform.
Pagbomba ng Presyo ng GHST
Ipinapakita ng data ng Blockchain mula sa CoinMarketCap na humiram sila ng malaking halaga ng vGHST, na nagpapataas ng presyo ng katutubong currency na $GHST ng hanggang 25% sa loob lang ng kalahating oras.
Ginawa ng may kasalanan ang collateral at kalaunan ay ipinagpalit ito para sa higit pang mga token.
Ginagamit ng Aavegotchi blockchain gaming project ang vGHST bilang staking token nito. Ito ay nagsisilbing share token para sa katutubong Aavegotchi token, $GHST.
Blocksec, isang security at auditing organization, ay na-verify na ang halaga ng vGHST ay artipisyal na tumaas, at na ang pricing oracle ay pinakialaman.
Ginamit ng hacker ang vGHST token upang samantalahin ang protocol, ayon sa mga natuklasan ng isang pag-aaral ng blockchain security firm na PeckShield.
0VIX ay nakikipagtulungan sa mga kasosyo sa seguridad nito upang tingnan ang kasalukuyang sitwasyon na tila nauugnay sa vGHST.
Bilang resulta, na-pause ang mga POS at zkEVM market kabilang dito ang pag-pause ng mga paglilipat ng oToken, pag-minting, at pagpuksa.
Tanging Kasalukuyang naapektuhan ang POS ngunit zkEVM…
— 0VIX | live sa zkEVM (@0vixProtocol) Abril 28, 2023
Sa isang pahayag na inilabas noong ika-28 ng Abril, kinilala ng OVIX ang isyu at sinabing iniimbestigahan nito ang usapin kasama ng mga kasosyo sa seguridad nito.
Ayon sa CoinGecko, tumaas ang halaga ng GHST mula $1.13 hanggang $1.41.
OVIX Sinuspinde ang Trading
OVIX ay sinuspinde ang kalakalan sa POS at zkEVM dahil sa paglabag. Bilang karagdagan, sinabi na ito ay magkakaroon ng mga kahihinatnan para sa pagpapalabas, paglilipat, at pagpuksa ng oToken.
Laganap ang ganitong mga pag-atake, na kilala sa komunidad ng DeFi bilang”mga pag-hack ng manipulasyon sa presyo,”
Kapag tinatalakay ang mga kahinaan sa mga sistema ng desentralisadong pananalapi (DeFi), ang terminong”mga pag-hack sa pagmamanipula ng presyo ng oracle”ay karaniwang ginagamit.
Ang mga platform ng DeFi ay maaaring makakuha ng real-time na data sa halaga ng maraming cryptocurrencies at iba pang mga asset sa pamamagitan ng mga price oracle, na mga panlabas na serbisyo.
Ang pagmamanipula sa mga presyong iniulat ng oracle o pagkompromiso sa data feed ng oracle ay parehong paraan ng pagmamanipula ng mga oracle sa pagpepresyo.
Upang mapadali ang iba pang mga pag-atake, tulad ng bilang mga flash loans o liquidity pool exploits, maaaring gamitin ng mga attacker ang huwad na impormasyong ito para artipisyal na pataasin o i-deflate ang halaga ng mga asset.
Ang terminong”flash loan attack”ay ginagamit upang ilarawan ang isang partikular na uri ng hack na ginagamit upang manipulahin. mga orakulo sa pagpepresyo. Ang isang attacker sa sitwasyong ito ay hihiram ng malaki mula sa isang DeFi platform, papalakihin ang aktwal na halaga ng asset gamit ang gawa-gawang data, at pagkatapos ay ibebenta ito sa mataas na presyo.
Kapag nabayaran na ang loan, itatago ng attacker ang mga nalikom..
Ang kabuuang market cap ng mga cryptocurrencies noong Linggo ay hindi nabago sa $1.16 trilyon. Chart ng TradingView.com
Ang Hamon sa Detection
Dahil sa magkakaugnay na katangian ng maraming DeFi platform at price oracle, maaari itong maging mahirap na tuklasin at pigilan ang mga pag-atake sa pagmamanipula sa mga system na ito.
Mga pamamaraan sa seguridad, tulad ng multi-signature na pagpapatotoo at mga paraan ng pag-verify ng data, ay dapat ipatupad ng mga DeFi platform at mga provider ng oracle sa pagpepresyo upang mabawasan ang posibilidad ng mga pag-atakeng ito.
Opisyal na mensahe sa umaatake:
Sa 8am UTC 1 Mayo 2023 ang pagpapatupad ng batas ang proseso ay naka-iskedyul na magsimula sa kawalan ng anumang mga pondo na ibinalik.
Kami ay mangunguna sa aming nakuha sa ngayon (salamat sa publiko para sa mga ito), pagsamahin ito sa aming pagsubaybay na nagawa na namin sa…— 0VIX | live sa zkEVM (@0vixProtocol) Abril 29, 2023
Samantala, ang OVIX protocol ay naglabas ng isang pahayag, na nagbabala sa mga salarin na ang mga awtoridad ay makisangkot kung hindi sila tutugon.
-Tampok na larawan mula sa Crypto Daily