Эксперты CertiK рассказали о подробностях атаки на Polter Finance

На прошлой неделе платформа Polter Finance стала жертвой эксплойта, в результате которого злоумышленники похитили около $8,7 млн. Инцидент произошел 16 ноября 2024 года. Он был вызван манипуляцией ценой токена BOO. После атаки платформа временно приостановила свою деятельность. Это было необходимо для расследования. Его провели эксперты из компании CertiK, которые отчитались об итогах.
Эксплойт был основан на уязвимости в работе контракта AaveOracle, который использовался для оценки цены токена BOO в кредитных пулах Polter Finance. Злоумышленник с помощью флеш-кредита искусственно завысил стоимость актива. Это позволило ему брать крупные займы, используя BOO в качестве залога. Атака затронула сразу несколько кредитных пулов платформы.
Сценарий включал в себя флеш-кредиты на общую сумму более 1,4 млн BOO из Spooky V2 и V3. Эти токены были использованы для депозита в пул Polter Finance, где токен оценивался в астрономическую сумму — $1,37 квадриллиона. Это позволило злоумышленнику беспрепятственно занимать активы, которые затем выводились с платформы.
После похищения активов средства были перенаправлены в несколько десятков кошельков и частично отмыты. Часть активов была конвертирована и выведена через мосты на блокчейн Ethereum. В настоящее время крупнейший из отслеживаемых кошельков злоумышленника содержит около 358 ETH, что эквивалентно $1,1 млн.
Представители Polter Finance обратились к злоумышленнику с просьбой вернуть средства, однако пока официальных заявлений о ходе переговоров не поступало. В то же время сообщество поднимает вопросы о необходимости усиления мер безопасности в работе с ценовыми оракулами, которые часто становятся уязвимыми местами платформ.
Эксперты CertiK отметили, что с начала 2024-го в криптоиндустрии зафиксировано 30 атак, связанных с манипуляцией ценой, что привело к общим потерям в размере $50 млн. Несмотря на снижение числа инцидентов, по сравнению с 2023-м, данный случай вошел в тройку крупнейших в этом году, уступая только атакам на UwULend ($19 млн) и WooFi ($8,7 млн).