Hacker do protocolo DeFi Tender.fi devolve US$ 1,6 milhão após falha no Oracle de preços

Um hacker de chapéu branco que tinha como alvo a plataforma de finanças descentralizadas (DeFi) Tender.fi retornouUS$ 1,6 milhão roubados na terça-feira, recebendo um éter 62,15 (ETH) recompensa por bugs no valor de US$ 850.000.

O ataque ocorreu depois que o Tender.fi atualizou seu feed de preços para retransmitir dados de uma plataforma de preços Chainlink oráculo em oposição a um preço médio ponderado pelo tempo (TWAP). O código do Tender.fi, que foi auditado pelo PeckShield, continha um erro e retornou um número com muitos zeros atrás dele. Isso significa que o invasor conseguiu depositar um token GMX , no valor de cerca de US$ 70, enganando efetivamente o sistema para permitir empréstimos infinitos, de acordo com uma autópsia publicada no Tender.fi's Página média. Não houve nenhum problema com o oráculo Chainlink em si.

Após extrair US$ 1,6 milhão do protocolo, o hacker deixou uma mensagem na cadeia: " LOOKS que seu oráculo foi configurado incorretamente. Entre em contato comigo para resolver isso."

O Tender.fi entrou em contato e concordou em pagar a recompensa pelo bug ao hacker white hat.

O protocolo planeja implementar um novo contrato de oráculo reescrito antes de retomar o empréstimo. Ele também prometeu pagar qualquer dívida não paga deixada pelo hacker.

O token TND, que caiu 34% na terça-feira, estava sendo negociado recentemente a US$ 1,87. Ele temaumentou 2,4% nas últimas 24 horas em relação ao seu par Ethereummas permanece em baixa de 7,6% em relação ao seu par dólar americano após umaderrocada do mercado de Cripto.

ATUALIZAÇÃO (10 de março de 2023, 14:08 UTC): Atualiza o título e esclarece no segundo parágrafo que o bug estava relacionado ao código do Tender.fi e não ao oráculo Chainlink .