มีคนยืมเงิน 1.6 ล้านดอลลาร์พร้อมหลักประกันมูลค่า 70 ดอลลาร์ได้อย่างไร: การใช้ประโยชน์จาก Tender.Fi

แฮ็กเกอร์ที่ขโมยสินทรัพย์ crypto มูลค่า 1.59 ล้านดอลลาร์จากแพลตฟอร์มการให้กู้ยืมเงินแบบกระจายศูนย์ (DeFi) ของ Arbitrum Tender.fi ได้คืนเงินเกือบทั้งหมดแล้ว โดยคงไว้ประมาณ 97,000 ดอลลาร์เป็นรางวัลตอบแทน

Tender.fi ถูกโจมตีในเช้าวันที่ 7 มีนาคม โดย Twitter อย่างเป็นทางการของโครงการ ยืนยัน เหตุการณ์ในทวีตไม่กี่นาทีต่อมา

Tender.fi ถูกเอาเปรียบ 1.59 ล้านดอลลาร์

ตามทวีต Tender.fi เปิดเผยว่าได้สังเกตเห็นและกำลังมองหาสินเชื่อ “จำนวนที่ผิดปกติ” แพลตฟอร์มดังกล่าวยังหยุดบริการให้ยืมชั่วคราวในระหว่างการสอบสวน

ข้อมูลออนไลน์แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากความผิดพลาดของออราเคิล ข้อผิดพลาดทำให้แฮ็กเกอร์สามารถยืมโทเค็นอีเทอร์ (ETH) ได้มากถึง 1.59 ล้านดอลลาร์ โดยมีการฝากโทเค็น GMX หนึ่งรายการมูลค่า 71 ดอลลาร์เพื่อเป็นหลักประกัน

หลังจากการแสวงประโยชน์, the แฮ็กเกอร์ ซ้าย ข้อความออนไลน์สำหรับ Tender.fi ระบุว่า "ดูเหมือนว่า oracle ของคุณได้รับการกำหนดค่าผิด ติดต่อฉันเพื่อจัดการเรื่องนี้” นี่แสดงว่าผู้แสวงประโยชน์คือก หมวกสีขาว แฮ็กเกอร์

ไม่กี่ชั่วโมงต่อมา Tender.fi เปิดเผยว่าได้ติดต่อผู้โจมตีเพื่อเจรจาและหารือเกี่ยวกับเงื่อนไขของข้อตกลงค่าหัว

“ไวต์แฮทได้ติดต่อผ่าน Debank และขณะนี้เรากำลังหารือเกี่ยวกับวิธีแก้ไขสถานการณ์นี้ เราจะอัปเดตข้อมูลเพิ่มเติมให้คุณเมื่อเรามี” โปรโตคอลกล่าว

แฮ็กเกอร์เก็บ $97k เป็นค่าหัว

เจ็ดชั่วโมงต่อมา โปรโตคอลเปิดเผยว่าตกลงกับแฮ็กเกอร์แล้วและเงินจะถูกส่งคืน

ประมาณหนึ่งชั่วโมงต่อมา แฮกเกอร์คืนเงิน 1.49 ล้านดอลลาร์และเก็บ 96,500 ดอลลาร์เป็นค่าหัว ทั้งบริษัทรักษาความปลอดภัย Tender.fi และบล็อคเชน peckshield ได้รับการยืนยัน การทำธุกรรม.

การแปล: White Hat จะชำระคืนเงินกู้ทั้งหมดลบ 62.158670296 ETH ซึ่งจะถูกเก็บไว้เป็นรางวัลสำหรับการช่วยรักษาความปลอดภัยโปรโตคอล เดอะ https://t.co/H4ZMPLH9pz ทีมจะชำระคืนมูลค่าของ Bounty ให้กับโปรโตคอล เพื่อที่จะไม่มีหนี้สูญและผู้ใช้จะยังคงอยู่... https://t.co/5bbmKu7zEe

— Tender.fi (@tender_fi) March 7, 2023