「Origin Protocol 稳定币 OUSD 遭闪电贷操纵预言机攻击，损失 700 万美元加密资产。根据 coingecko. 数据显示，OUSD 在过去 24 小时跌幅达到 85.5%，现报 0.146 美元。闪电贷攻击毫无疑问是 DeFi 领域最常见也是最严重的安全问题，在过去一周，已经发生了 4 起闪电贷攻击，包括 Value DeFi（540 万美元）、Cheese Bank（330 万美元）、Akropolis（200 万美元）以及今天的 OUSD（700 万美元）。」

以下是 Origin Protocol 联合创始人 Matthew Liu 发布的有关这次闪电贷攻击的信息：

Origin Protocol 的稳定币 OUSD 已被黑客入侵，并且用户资金已经出现流失。我们正在积极调查这个问题。请参考此博客文章，作为未来几天内不断更新的权威信息。

在过去三个小时中，我们在了解攻击并跟踪从 OUSD 金库到攻击者钱包的资金流动方面取得了进展。

我们正在积极采取措施，以期收回资金。这包括与交易所和其他第三方合作，以潜在地识别攻击者身份和/或冻结资金以免被清算。

我们已经追踪了资金，并且知道攻击者同时使用了 Tornado Cash 和 renBTC 来洗钱和转移资金。

目前，攻击者的钱包之一中还有 7,137 ETH 和 224.9 万 DAI。

这次攻击发生的交易信息在这里（最早的攻击交易：

https://etherscan.io/tx/0xe1c76241dda7c5fcf1988454c621142495640e708e3f8377982f55f8cf2a8401）。

下面还有关于这次攻击的信息摘要：

• 这次袭击是由于我们合约中存在的一个再入 bug。事实上，除非通过我们支持的的一种稳定币向我们发起攻击，否则我们的合约安全并不会受到重入漏洞的影响。

• 攻击者利用了一次缺失的验证检查（当通过多种稳定币铸造 OUSD 时），以在他们的控制下传递假的「稳定币」。然后，该「稳定币」被 Vault 调用「transferFrom」，从而使黑客能够在铸造过程中通过再入攻击来攻击合约。

• 在资金从第一次大额铸币转移到 OUSD 之后并且在 OUSD 供应增加之前，攻击者能够在第二次铸币期间内创建一个 rebase 事件。这为合约中的每个人（包括攻击者）创造了巨大的 rebase。然后，攻击者还收到了他们的第一次大额 OUSD 铸币，使他们获得的 OUSD 总数超过了合约所拥有的资产。

• 攻击者从 OUSD 提取了大部分稳定币。

• 然后，他们可以在提取并在 Uniswap 和 Sushiswap 上卖出为 USDT 之后继续提取 OUSD。

目前，资金损失约为 700 万美元，其中包括 Origin 和我们的创始人及员工所存入的超过 100 万美元资金。我们将继续加大工作力度，直到我们确定利用该漏洞的原因以及我们是否能够找回这些资金。我们愿意竭尽所能解决这个问题。

我们已禁用金库（Vault）中的存款。之后我们将发布一份详细的交易分析报告。

在接下来的几天中，我们将采取详尽的措施，以找回丢失的用户资金，然后再讨论受影响的 OUSD 持有者的补偿计划。提醒一下，请不要在 Uniswap 或 Sushiswap 上购买 OUSD，因为当前价格不能反映出 OUSD 的基础资产。

致黑客：我们要求您做正确的事并退还资金。您已经展现出了出色的黑客技能，并且我们很乐意雇用您担任安全顾问。如果您退还 100％的资金，我们保证不会继续追究您或对您采取任何法律行动。我们虚心请您考虑正在伤害的数百名无辜者，并退还资金。

最后，我们要对更广大的区块链社区表示感谢。在这些艰难时期，我们得到了投资者，DeFi 工程师，安全专家等的大力支持。我们非常感谢能帮助我们进一步分析攻击，追踪资金并可能识别攻击者的小组。我们全体团队成员表示感谢。

原文标题：《本周第 4 起闪电贷攻击事件，Origin Protocol 官方发文回顾攻击过程》

原文来源：   Origin Protocol