Усяго праз два месяцы пасля страты 15.6 мільёна долараў у выніку маніпуляцый аракулам, Inverse Finance зноў пацярпела ад флэш-крэдыт эксплойт, у выніку якога зламыснікі атрымалі 1.26 мільёна долараў у Tether (USDT) і Wrapped Bitcoin (wBTC).
Inverse Finance - гэта пратакол дэцэнтралізаванага фінансавання на аснове Ethereum (DeFi), а флэш-пазыка - гэта тып крыпта-пазыкі, які звычайна пазычаецца і вяртаецца ў межах адной транзакцыі. Oracles паведамляюць па-за межамі інфармацыі аб цэнах.
Апошні эксплойт працаваў з выкарыстаннем флэш-пазыкі для маніпулявання коштам аракула для токена пастаўшчыка ліквіднасці (LP), які выкарыстоўваецца прылажэннем грашовага рынку пратаколу. Гэта дазволіла зламысніку пазычыць большую колькасць стэблкоіна пратакола, Dola (DOLA), чым сума закладу, якую яны размясцілі, дазваляючы ім забраць у кішэню розніцу.
Напад адбыўся крыху больш за два месяцы пасля аналагічнага 2 красавіка эксплуатаваць, у выніку якога зламыснікі штучна маніпулявалі цэнамі на забяспечаныя токены праз аракул коштаў, каб вылучыць сродкі, выкарыстоўваючы завышаныя цэны.
У адказ на атаку Inverse Finance часова прыпыніла пазыкі і выдаліла DOLA з грашовага рынку, пакуль яна расследаваў інцыдэнт, сказаўшы, што сродкі карыстальнікаў не знаходзяцца пад пагрозай.
Inverse часова прыпыніў пазыкі пасля інцыдэнту сёння раніцай, калі DOLA была выдаленая з нашага грашовага рынку Frontier. Мы расследуем інцыдэнт, аднак сродкі карыстальнікаў не былі забраны і не былі пад пагрозай. Мы вядзем расследаванне і неўзабаве паведамім больш падрабязную інфармацыю.
— Inverse+ (@InverseFinance) Чэрвень 16, 2022
Гэта пазней пацверджаны што інцыдэнт быў закрануты толькі закладам зламысніка, які ўзяў доўг перад сабой з-за скрадзенага DOLA. Гэта заклікаў зламысніка вярнуць сродкі у абмен на «шчодрую шчодрасць».
У агульнай складанасці зламыснікі атрымалі ад атакі 99,976 53.2 USDT і XNUMX wBTC, памяняўшы іх у ETH, перш чым адправіць усё гэта праз криптовалютный міксер Tornado Cash, спрабуючы схаваць атрыманыя незаконным чынам прыбыткі.
папярэдні атакаваць у красавіку зламыснікі забралі 15.6 мільёна долараў у эфіры (ETH), wBTC, Yearn.Finance (І FI) і DOLA.
DeFi Marketplace Deus Finance пацярпеў ад падобнага подзвігу ў сакавіку, калі зламыснікі маніпулююць спалучэннем цэн у аракуле, што прыводзіць да прыбытку ў 200,000 XNUMX дай (DAI) і 1101.8 ETH, на той момант коштам больш за 3 мільёны долараў.
Beanstalk Farms, пратакол стэблкоін на аснове крэдыту, страціў усе заклады на суму 182 мільёны даляраў у флэш-атацы пазыкі, выкліканай двума шкоднаснымі прапановамі кіравання, якія ў рэшце рэшт вылілі ўсе сродкі з пратаколу.
Як пайшла апошняя атака
Блокчейн-ахоўная фірма BlockSec прааналізаваны што зламыснік пазычыў 27,000 XNUMX wBTC у хуткім пазыцы, памяняўшы невялікую суму на токен LP, які выкарыстоўваецца для размяшчэння закладу ў Inverse Finance, каб карыстальнікі маглі браць крыпта актывы.
Астатні wBTC быў памянялі на USDT, у выніку чаго кошт забяспечанага токена LP зламысніка значна вырасце ў вачах аракула коштаў. Паколькі кошт гэтых токенаў LP цяпер каштуе значна даражэй з-за росту коштаў, зламыснік пазычыў большую суму, чым звычайна ў стейблкоіна DOLA.
Кошт DOLA каштаваў значна больш, чым дэпазіт, таму зламыснік памяняў DOLA на USDT, а ранейшы своп wBTC на USDT быў адменены для пагашэння першапачатковага флэш-пазыкі.
Крыніца: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack