Пратакол з адкрытым зыходным кодам Inverse Finance, заснаваны на Ethereum, пацярпеў ад чарговага ўзлому, які прывёў да страты крыптавалют на суму больш за 1.2 мільёна долараў. Эксплойт з'яўляецца другой атакай платформы за два месяцы.
Зваротныя фінансы зноў эксплуатуюцца
ў нітка цвіркала кампанія PeckShield, якая займаецца бяспекай блокчейнаў, у чацвер (16 чэрвеня 2022 г.) атака на Inverse Finance стала магчымай з-за маніпуляцый цэнавым аракулам. У той час як PeckShield сказаў, што хакер атрымаў ад эксплойту каля 1.26 мільёна долараў, фірма адзначыла, што страты Inverse Finance могуць быць большымі.
Зламыснік, пра якога ідзе гаворка, выкарыстаў флэш-пазыку, каб выкарыстоўваць цэнавы аракул пратаколу. Флэш-пазыкі - гэта асаблівы тып пазыкі ў ланцужку ў крыптапрасторы, дзе карыстальнік можа пазычаць сродкі з крэдытнага пула без размяшчэння закладу, але пазыка павінна быць пагашана ў той жа транзакцыі.
Флэш-пазыкі звычайна выкарыстоўваюцца для атрымання сродкаў, каб скарыстацца магчымасцямі арбітражу ў дэцэнтралізаванай фінансавай экасістэме. Арбітраж - гэта калі токен мае дзве каціруемыя цэны на двух розных рынках і, такім чынам, дазваляе трэйдарам купляць танна на адной платформе і хутка прадаваць з прыбыткам на іншай.
Гэтыя пазыкі, аднак, могуць быць выкарыстаны зламысна эксплуататарамі, як гэта было ў многіх выпадках. Такія атакі часта ўключаюць выкарыстанне схованак пазыковых сродкаў, каб разбалансаваць пул ліквіднасці на пратаколах DeFi.
Дадзеныя ў ланцужку паказваюць, што эксплуататар спачатку пазычыў 27,000 580 біткойнаў (wBTC) на суму каля XNUMX мільёнаў долараў.
Гэтая запазычаная сума была выкарыстана для маніпулявання цэнавымі патокамі пратаколу, скажаючы баланс ліквіднасці платформы. У выніку эксплуататар змог зліць 53 BTC і 100,000 1.2 Tether (USDT), што склала ў агульнай складанасці XNUMX мільёна долараў.
Аднак пратакол крэдытавання раней сказаў што сродкі карыстальнікаў у бяспецы, дадаўшы, што пратакол спыніў пазыкі для расследавання справы.
«Inverse часова прыпыніла пазыкі пасля інцыдэнту сёння раніцай, калі DOLA была выдалена з нашага грашовага рынку Frontier. Мы расследуем інцыдэнт, аднак сродкі карыстальнікаў не былі забраныя і не былі пад пагрозай. Мы праводзім расследаванне і неўзабаве дамо больш падрабязную інфармацыю».
Праблемы флэш-пазыкі DeFi
Апошні эксплойт адбыўся праз два месяцы пасля таго, як хакеры знялі з Inverse Finance крыптавалюты на суму больш за 15 мільёнаў долараў. Паводле паведамлення в crypto.news, зламыснік выкарыстаў уразлівасць у цэнавым аракуле Keep3r пратаколу, каб ажыццявіць атаку.
Між тым, у апошні час назіраецца рост нападаў флэш-пазыкі на пратаколы DeFi. У красавіку Beanstalk Farms страціла хакерам крыптаграфію на 76 мільёнаў долараў, пазней платформа прапанавала зламыснікам 10% скрадзеных сродкаў, калі яны вернуць грошы.
Agave and Hundred Finance таксама страцілі крыптавалюту на 11 мільёнаў долараў пасля таго, як зламыснікі ўкаранілі эксплойт па эксплойце флэш-пазыкі. Атака адбылася праз 24 гадзіны пасля таго, як хакеры скралі 3 мільёны долараў у DIA і эфіры з пратакола DeFi Deus Finance.
Пазней у красавіку Deus Finance зноў быў выкрадзены хакерамі больш за $ 13 млн.
Крыніца: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/