Протокол Opyn, который предлагает опционы на ETH и DeFi-токены, подвергся атаке, которая привела к потере не менее $371000 пользовательских средств.
Атака затронула пут-опционы ETH. Трейдеры используют флэш-кредиты для покупки пут-токенов oTokens (oETH) на платформе Uniswap. В качестве залога предоставляются монеты USD Coin (USDC). Хакер обнаружил уязвимость в токенах oTokens и смог украсть залоговые средства.
Через некоторое время разработчики Opyn заметили утечку средств. Они заблокировали торговлю oToken и опустошили смарт-контракт своего протокола, чтобы сохранить оставшиеся залоговые средства. В общей сложности из контракта было выведено $572165.
Аудит смарт-контрактов для Opyn проводила охранная компания OpenZeppelin. Однако эксплойт не попал в рамки аудита, поэтому не был обнаружен.
Протокол Opyn полностью децентрализован, команда не контролирует его и не может закрыть, поэтому возможности справиться с последствиями взлома ограничены. Разработчики предложили пострадавшим некоторую компенсацию.
Команда заверила, что пересмотрит свою внутреннюю безопасность и методы тестирования. Также будут проведены дополнительные аудиты и еще контракты будут проходить через программу тестирования смарт-контрактов Echidna, которую создала аудиторская фирма Trail of Bits.