Coder通过Flashloaning Stablecoin Bug赚了800万美元

熟练的编码员通过利用Origin Protocol的oUSD智能合约中的重入漏洞获得了800万美元的收入。

OUSD是一个新的代币，通过获得其他稳定币（如USDt）的支持来跟踪美元价格1：1。

该项目表示，USDt和其他稳定币资产被发送到Defi协议以赚取利息，然后oUSD代币可以自由移动或使用，同时还可以赚取基础资产的利息。

因此，基本上，这是对复合资产说的抽象资产，给他们一个所有权令牌，该令牌现在免于借贷的负担，同时又享有利息。

很酷，除了有一个重入错误。 2016年的以太坊人会知道此类错误属于此类错误，由于编码错误，智能合约认为您有权铸造令牌，而实际上却没有。 团队说，我们详细引用：

“攻击是我们合同中的一个可重犯错误。 不幸的是，除非我们的一种受支持的稳定币向我们发起攻击，否则我们的合同不会出现重入漏洞。

攻击者利用了缺少的验证检查（以多个稳定币铸造OUSD时），以在他们的控制下传递假的“稳定币”。 然后，该“稳定币”被Vault称为“ transferFrom”，从而使黑客能够在薄荷糖中间通过再入攻击来利用合同。

在资金从第一个大型造币厂转移到OUSD之后，但在OUSD的供应增加之前，攻击者能够在第二个造币厂内创建一个变基事件。 这为合同中的每个人（包括攻击者）创造了巨大的基础。 然后，攻击者还收到了他们的第一个大型OUSD铸币，总计给他们的OUSD比合同资产还多。

攻击者从OUSD撤出了大多数稳定币。

然后，他们可以在提取之后获得额外的OUSD，并在随后的交易中将其在Uniswap和Sushiswap上以USDT的价格出售。”

起源稳定币的Flashloan Bug利用，2020年11月

这个编码员费心去停下来收集化合物代币，这些代币是为了提供流动性而采取的一些行动，只是为了收集价值9美元的资产/ eth。

因此，将交易费用提高到250美元，这是一笔小数目，可以用几行代码来支付他获得的800万美元。

这800万美元现在基本上已经通过混合器Tornado Cash和renBTC流失了，团队恳求黑客归还资金。

他可能会做一些事情，拿回200万美元，其余的可能更好地用于资助某种编码学校，在那里他可以在游艇上教给孩子所有这些小知识。

实际上，所有这些都是免费的，因为dYdX刚给了他70,000 eth，即3200万美元，因为flashYanX代码签出了一笔可观的利润。

这意味着，智能合约编码人员现在需要更加谨慎，并且需要从考虑中消除攻击成本，因为对于FlashLoan，成本几乎为零，节省了技能和编码时间。

特色图片由编码员Julien Bouteloup提供

—-

原文链接：https://www.trustnodes.com/2020/11/17/coder-makes-8-million-by-flashloaning-origin-protocol-bug

原文作者：Trustnodes

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。