Το WOOFi αναφέρει απώλεια 8.75 εκατομμυρίων $, προσφέρει 10% Bounty για την επιστροφή

Το WOOFi, μια αποκεντρωμένη πλατφόρμα χρηματοδότησης, γνώρισε μια εκμετάλλευση στις 5 Μαρτίου που στόχευε τη δυνατότητα ανταλλαγής στο δίκτυο Arbitrum. Το γεγονός οδήγησε σε απώλεια περίπου 8.75 εκατομμυρίων δολαρίων σε περιουσιακά στοιχεία κρυπτογράφησης.

Η πλατφόρμα είπε ότι έχει ξεκινήσει προσπάθειες για την ανάκτηση αυτών των κεφαλαίων και έχει προσφέρει 10% μπόνους whitehat στον εκμεταλλευτή. Επιπλέον, έχει δοθεί ένα μπόνους στο Arkham Intelligence για οποιονδήποτε παρέχει πρόσθετες πληροφορίες.

WOOFi's Exploit

Σύμφωνα με τη νεκροψία αναφέρουν, ο αλγόριθμος sPMM που διέπει την τιμολόγηση στα WOOFi Swaps αξιοποιήθηκε στο Arbitrum. Η επίθεση περιελάμβανε μια σειρά από στιγμιαία δάνεια που αξιοποιούσαν χαμηλή ρευστότητα για να χειραγωγήσουν την τιμή του WOO, επιτρέποντας στον εκμεταλλευτή να αποπληρώσει τα δάνεια με μειωμένο κόστος.

Ο εκμεταλλευτής δανείστηκε περίπου 7.7 εκατομμύρια WOO και άλλα περιουσιακά στοιχεία, πουλώντας τα token στο WOOFi. Αυτή η ενέργεια προκάλεσε το sPMM του WOOFi να προσαρμόσει ανακριβώς το WOO σε μια εξαιρετικά χαμηλή τιμή, επιτρέποντας στον εκμεταλλευτή να ανταλλάξει 10 εκατομμύρια WOO στην ίδια συναλλαγή σχεδόν χωρίς κόστος.

Ο εκμεταλλευτής επανέλαβε αυτήν την επίθεση τρεις φορές μέσα σε σύντομο χρονικό διάστημα, με αποτέλεσμα κέρδη περίπου 8.75 εκατομμυρίων δολαρίων μετά την αποπληρωμή των φλας δανείων.

Το WOOFi αποκάλυψε ότι το sPMM στη δεύτερη έκδοσή του έχει σχεδιαστεί για να αντικαθιστά τις τιμές του oracle λαμβάνοντας υπόψη τις εμπορικές πλασματικές αξίες των χρηστών για τη ρύθμιση της ολίσθησης και τη διατήρηση της ισορροπίας της ομάδας.

Ωστόσο, ένα σφάλμα οδήγησε σε εκτεταμένη απόκλιση από το αναμενόμενο εύρος (0.00000009 $) και ο εναλλακτικός έλεγχος, που συνήθως εκτελείται έναντι του Chainlink, δεν περιελάμβανε την τιμή του διακριτικού WOO.

Η συντηρητική στρατηγική καταχώρισης αποδίδει

Το WOOFi είπε επίσης ότι το sPMM του ήταν χωρίς περιστατικά από την εισαγωγή του το 2021, κυρίως λόγω της «συντηρητικής προσέγγισης» για την εισαγωγή νέων περιουσιακών στοιχείων. Η αυστηρή διαδικασία καταχώρισης της πλατφόρμας κατέστησε σχεδόν αδύνατη την έναρξη ενός exploit με μεγάλα περιουσιακά στοιχεία όπως το ETH.

Ωστόσο, κατηγόρησε την πρόσφατη εισαγωγή μιας αγοράς δανεισμού για το WOO στο Arbitrum, σε συνδυασμό με τη σχετικά περιορισμένη υποστήριξη ρευστότητας για μάρκες WOO σε άλλα σημεία του δικτύου, γεγονός που κατέστησε το exploit οικονομικά βιώσιμο.

Ενώ το WOOFi Swap λειτουργεί σε περισσότερα από δέκα δίκτυα, κανένα άλλο από το Arbitrum δεν παρουσίαζε τόσο το διακριτικό WOO όσο και μια αγορά δανεισμού WOO, εμποδίζοντας ουσιαστικά την αναπαραγωγή του ίδιου exploit σε εναλλακτικά δίκτυα.

Εν τω μεταξύ, μια πρόσφατη έκθεση της CertiK ανέφερε ότι ο τομέας κρυπτογράφησης υπέφερε απώλειες περίπου 160 εκατομμυρίων δολαρίων τον Φεβρουάριο λόγω εκμεταλλεύσεων, hacks και απάτες. Αυτοί οι αριθμοί αντικατοπτρίζουν μια μικρή μείωση σε σύγκριση με τον Ιανουάριο παρά την άνοδο των τιμών. Μεταξύ αυτών των απωλειών, τα δάνεια έκτακτης ανάγκης αντιπροσώπευαν μόνο 138,000 $.