В результате взлома протокол децентрализованных финансов (DeFi) Origin поздно вечером в понедельник, 16 ноября, потерял более $7 млн.
Злоумышленник воспользовался уязвимостью в контракте стейблкоина Origin (OUSD) и вывел большую часть токенов. Стейблкоин Origin обеспечен тремя другими стейблкоинами: Tether (USDT), USDC от Circle и Coinbase, а также DAI от MakerDAO.
Мэтью Лю, соучредитель Origin, в комментарии для The Block сказал: «Злоумышленник воспользовался отсутствием повторной проверки в нескольких монетах (при выпуске OUSD с несколькими стейблкоинами), чтобы выпустить для себя поддельный “стейблкоин”», ― сказал Лю. «Он получил больше OUSD, чем было в контракте».
Исследователь под ником Frank Topbottom подробно проанализировал атаку и заключил, что для ее реализации был использован флэш-кредит. Злоумышленник взял флэш-кредит в размере 70 000 ETH на децентрализованной бирже dYdX и обменял эти ETH на USDT и DAI на Uniswap. Затем они использовал уязвимость в смарт-контракте Origin и выпустил дополнительные OUSD.
Дополнительные токены OUSD были обменены на ETH и DAI через Uniswap и SushiSwap. По данным Topbottom, злоумышленник смог присвоить около $7.7 млн в виде 11 804 ETH и 2 249 821 DAI.
Origin в настоящее время подробно анализирует атаку и, как ожидается, в ближайшее время опубликует полный отчет. Лю призвал пользователей не покупать OUSD на Uniswap или SushiSwap, поскольку текущие цены не отражают базовые активы стейблкоина. На Uniswap OUSD торгуется около $0 и не имеет ликвидности.
Известный криптофонд Pantera Capital инвестировал в проект Origin $3 млн в 2017 году.