Ang DeFi Protocol Tender.fi Hacker ay Nagbabalik ng $1.6M Kasunod ng Pagpepresyo ng Oracle Glitch

Nagbalik ang isang white hat hacker na nag-target ng decentralized-finance (DeFi) platform na Tender.fi $1.6 milyon na ninakaw noong Martes, tumatanggap ng 62.15 eter (ETH) bug bounty na nagkakahalaga ng $850,000 sa halip.

Naganap ang pag-atake pagkatapos na i-upgrade ng Tender.fi ang feed ng presyo nito upang maghatid ng data mula sa pagpepresyo ng Chainlink orakulo kumpara sa time-weighted average na presyo (TWAP). Ang code ng Tender.fi, na na-audit ng PeckShield, ay naglalaman ng isang error at nagbalik ng isang numero na may napakaraming mga zero sa likod nito. Nangangahulugan iyon na ang umaatake ay nakapagdeposito ng ONE GMX token, na nagkakahalaga ng humigit-kumulang $70, na epektibong nanlilinlang sa system upang payagan ang walang katapusang mga paghiram, ayon sa isang postmortem na inilathala sa Tender.fi's Katamtamang pahina. Walang isyu sa Chainlink oracle mismo.

Pagkatapos kunin ang $1.6 milyon mula sa protocol, nag-iwan ang hacker ng on-chain na mensahe: " LOOKS mali ang pagkaka-configure ng iyong orakulo. Makipag-ugnayan sa akin para ayusin ito."

Inabot ni Tender.fi at pumayag na bayaran ang hacker ng puting sumbrero ng bug bounty.

Plano ng protocol na mag-deploy ng bagong rewritten na kontrata ng oracle bago i-unpause ang paghiram. Nangako rin itong babayaran ang anumang hindi nabayarang utang na naiwan ng hacker.

Ang TND token, na bumagsak ng 34% noong Martes, ay kamakailang nakalakal sa $1.87. Mayroon itong tumaas ng 2.4% sa nakalipas na 24 na oras laban sa pares ng Ethereum nito ngunit nananatiling bumaba ng 7.6% laban sa pares nitong U.S. dollar kasunod ng a pagkatalo ng Crypto market.

I-UPDATE (Marso 10, 2023, 14:08 UTC): Ina-update ang headline at nilinaw sa pangalawang talata na ang bug ay nauugnay sa code ng Tender.fi at hindi sa Chainlink oracle.