Oggi si è verificato un nuovo attacco alla finanza decentralizzata (DeFi) ai danni di Opyn che ha confermato l’attacco su Twitter.
Here is an overview of the incident affecting ETH Put contracts. No other contracts are affected. ~371k USDC was lost. We worked with @samczsun to whitehack, securing ~439k USDC. Affected users, please see below. Full post-mortem coming in next few days.https://t.co/ILNutAiqfU
— opyn² (@opyn_) August 4, 2020
Prima di addentrarci nel come l’attacco sia stato perpetrato, spieghiamo che Opyn è una piattaforma decentralizzata che permette di mettere al sicuro i propri depositi in ambito DeFi e operare con dei token che emulano quelli veri, in modo, in teoria, da non rischiare con i propri fondi.
La piattaforma, tramite uno smart contract, permette di generare infatti gli oTokens e per ogni token abbiamo la relativa controparte che si emula.
La vulnerabilità che è stata sfruttata per questo attacco è relativa al contratto di ETH ed in particolare al contratto Opyn ETH Put, mentre tutti gli altri non riscontrano questa problematica.
Il bottino dell’ultimo attacco alla DeFi su Opyn
L’attacco ha permesso di rubare ben 370mila USDC, mentre oltre mezzo milione di USDC sono stati recuperati da un whitehat, limitando i danni per la piattaforma, dato che la stessa, essendo decentralizzata, non ha un controllo diretto sui fondi e l’unica cosa che si è potuta fare è stata rimuovere la liquidità dal contratto.
Per incentivare gli oTokens holder a rientrare ad usare la piattaforma, il team ora sta offrendo una maggiorazione del 20% oltre il prezzo di Deribit per accelerare il processo di patch che andrà a seguire grazie all’aiuto di Trail of Bita e al team di Open Zeppelin.
Il team sottolinea che era stato fatto un audit proprio da Open Zeppelin ma questo tipo di vulnerabilità non era stata preventivata. Nonostante ciò, il team ha spiegato che, anche se non sarebbero tenuti, saranno risarciti tutti gli utenti colpiti.
Purtroppo il protocollo non può essere spento perché il team quando ha creato la piattaforma ha scelto la via delle decentralizzazione e di essere permissionless.
Infine il team nel comunicato afferma che migliorerà le proprie tecniche e si affiderà a diversi audit per avere supporto nel campo della sicurezza.
Ancora una volta assistiamo ad un attacco ad un settore in piena crescita come quello della DeFi.
Con il ritmo di un attacco al mese, i criminali informatici stanno rubando milioni di fondi.