律动BlockBeats 消息, 8 月 5 日,链上期权平台 Opyn 发文称发现一个合约漏洞,已有价值 371,260 枚 USDC 被盗。团队表示目前调查尚未结束,具体损失金额尚未确定。另外通过白帽黑客的帮助,已有 439,170 枚 USDC 从未被偿还的资金库被恢复。官方称,除 ETH 看跌期权合约外,其他 Opyn 合约不受此影响。团队愿意以高于市场价 20% 的价格赎回受影响用户在 Deribit 上的看跌期权。
Opyn 实际是一个链上期权平台,Opyn 团队建立的基于以太坊、Compound、Uniswap 和 DAI 的非托管保证金交易平台,可以使任何人都可以通过平台做多或做空 ERC20s。因此 Opyn 也常常被视为是一种 Defi 对冲工具和去中心化的风险管理平台。
黑客的操作
该漏洞目前仅对 Opyn 的以太坊合约产生影响,这个漏洞允许攻击者可以对 oTokens 进行「双重行使」 并窃取这些卖权的某些卖家提供的抵押品。
补救措施
因为 Opyn 是一个无需许可的去中心化协议,所以该团队不能像许多其他协议那样直接关闭用户对协议访问权限。为了减少进一步的损失,Opyn 将其在 Uniswap 上的 ETH 看跌池的流动性暂时中止了,以防止其他人购买这些期权,并取消了用户通过 opyn.co 网站购买 opyn 看跌期权的选项。为了确保现有期权持有者的流动性,Opyn 提出以高于市场价 20% 的价格购买所有在开发期间未偿付的期权。(如果您目前持有 ETH 看跌期权,请与 Opyn 团队联系,团队愿意以比 Deribit 市场价格高出 20% 的价格赎回看跌期权。)
据官方表示,目前持有 ETH 调用合约的用户不受影响,如 dCOMP 看跌期权、BAL 看跌期权、cToken 看跌期权或 aToken 看跌期权。上述产品不受此次漏洞影响。
上述措施执行之后,Opyn 会立即与 Trail of Bits 开发一个白帽补丁,允许 Opyn 从未偿还的资金库移除 439,170 USDC 抵押品,并将抵押品还给卖家。
简言之,由于是 Opyn 是一个去中心化的产品,协议无法被关闭。团队会通过各种方式来降低损失并解决问题,包括将购买更多的看跌期权以防止进一步的攻击,取消看跌期权的出售能力,以及清算现有的看跌期权卖家以确保他们的抵押品是安全的。
原文地址