В соответствии с Tweet аналитическая компания DeFi PeckShield, 28 апреля 2022 года протокол децентрализованных деривативов Deus Finance подвергся эксплойту. Поставщик безопасности блокчейна отметил, что злоумышленнику удалось манипулировать ценовым оракулом для мгновенных кредитов на Deus DAO.
Взлет и рост мгновенных кредитных атак
«Взлом стал возможен благодаря манипулированию ценовым оракулом с помощью flashloan, который считывается с пары StableV1 AMM — USDC/DEI. Затем манипулируемая цена залога DEI используется для заимствования и истощения пула», — пояснил PeckShield.
Эксплойт позволил злоумышленнику выкачать более 13.4 миллиона долларов из пула ликвидности протокола кредитования в Fantom Network. Однако, по данным компании CertiK, специализирующейся на безопасности, общие потери протокола Deus могут быть намного выше.
В Tweet CertiK, опубликованный в четверг утром, подтвердил, что на платформе Deus произошел эксплойт для мгновенного кредита, но, по оценкам, злоумышленник получил около 16.84 миллиона долларов прибыли.
Хакер переводит украденные средства в криптомиксер
Неизвестный злоумышленник смог обмануть способность смарт-контрактов Deus интерпретировать данные ценового оракула, что позволило ему манипулировать стоимостью залога DEI. DEI — это стабильная монета с частичным резервированием протокола DeFi, привязанная к стоимости доллара США.
Используя завышенную цену, хакер использовал залог, чтобы занять большие суммы в криптовалюте в качестве мгновенного кредита и опустошить пул. Вскоре после получения своей добычи в размере около 5446 ETH злоумышленник перевел средства из своего кошелька в Tornado Cash, популярный инструмент для смешивания монет.
На момент написания статьи баланс кошелька, связанного с эксплуататорами Deus, составлял всего 132 доллара, так как большая часть украденных средств уже была направлена в решение для обеспечения конфиденциальности Tornado Cash.
Экосистема Deus пошатнулась после разрушительного эксплойта в ранние азиатские часы в четверг. По данным CoinGecko, эксплойт привел к падению цены DEI на 16.5% за последние 24 часа. Основная часть убытков пришлась на то, что фирмы, занимающиеся безопасностью блокчейна, обнародовали подробности атаки с использованием мгновенных кредитов.
Разработчики Deus Finance приостанавливают кредитование DEI
Команда разработчиков Deus быстро подавила панику среди пользователей после разрушительного взлома сети в четверг. В Tweet Опубликовано в четверг утром, сторонники проекта заверили инвесторов, что двусторонняя платформа внебиржевых деривативов теперь безопасна.
Команда подтвердила, что средства пользователей в безопасности, и повторила, что ни один инвестор не был ликвидирован. Они также пояснили, что привязка DEI 1:1 к доллару США была восстановлена, но проинформировали участников рынка о временном прекращении кредитования стейблкоина.
К сожалению, последний взлом Deus Finance не первый. Буквально в прошлом месяце на рынок DeFi проникли злоумышленники, использующие тот же вектор атаки флэш-кредитов. Как сообщает crypto.news, в результате эксплойта вредоносного ПО киберпреступники ушли с примерно 3 миллионами долларов в монетах ETH и DAI.
После нарушения 15 марта Deus Finance DAO объявила о закрытии кредитного договора DEI. Затем генеральный директор протокола Deus Лафайет Табор изложил план возмещения что позволило пострадавшим пользователям погасить свои кредиты и вернуть ликвидированные средства.
Источник: https://crypto.news/deus-finance-new-flashloan-attack-13m/