Всего через два месяца после того, как Inverse Finance потеряла 15.6 млн долларов из-за манипулирования ценами, компания снова столкнулась с флэш-кредит эксплойт, в результате которого злоумышленники сбежали с 1.26 миллиона долларов в Tether (USDT) и завернутый биткойн (wBTC).
Inverse Finance — это протокол децентрализованного финансирования (DeFi) на основе Ethereum, а мгновенный кредит — это тип крипто-кредита, который обычно берется взаймы и возвращается в рамках одной транзакции. Оракулы сообщают внешнюю информацию о ценах.
Последний эксплойт работал с использованием флэш-кредита для манипулирования ценовым оракулом токена поставщика ликвидности (LP), используемого приложением денежного рынка протокола. Это позволило злоумышленнику занять большую сумму в стабильной монете протокола, Dola (DOLA), чем сумма залога, который они разместили, что позволило им присвоить себе разницу.
Атака произошла чуть более чем через два месяца после аналогичной атаки 2 апреля. эксплуатировать, в ходе которого злоумышленники искусственно манипулировали ценами на обеспеченные токены с помощью ценового оракула, чтобы вывести средства, используя завышенные цены.
В ответ на атаку Inverse Finance временно приостановила заимствование и удалила DOLA с денежного рынка, пока расследовал инцидент, заявив, что никакие пользовательские средства не находятся под угрозой.
Компания Inverse временно приостановила заимствования после инцидента, произошедшего сегодня утром, когда DOLA был удален с нашего денежного рынка Frontier. Мы расследуем этот инцидент, однако средства пользователей не были изъяты и не подвергались риску. Мы проводим расследование и вскоре предоставим более подробную информацию.
— Инверс+ (@InverseFinance) 16 июня 2022
Это позже подтвердил что в инциденте пострадал только депонированный залог злоумышленника, и он получил долг только перед собой из-за украденного DOLA. Это призвал злоумышленника вернуть средства в обмен на «щедрое вознаграждение».
В общей сложности злоумышленники получили 99,976 53.2 долларов США и XNUMX wBTC в результате атаки, обменяв их на ETH, прежде чем отправить все это через миксер криптовалюты Tornado Cash, пытаясь скрыть полученные нечестным путем доходы.
Предыдущий атаковать В апреле злоумышленники унесли 15.6 млн долларов в эфире (ETH), wBTC, Yearn.Finance (YFI) и ДОЛА.
Торговая площадка DeFi Deus Finance пострадал от аналогичного эксплойта в марте, когда злоумышленники манипулируют парой цен внутри оракула, что приводит к выигрышу в 200,000 XNUMX Dai (DAI) и 1101.8 ETH, что на тот момент стоило более 3 миллионов долларов.
Beanstalk Farms, кредитный протокол стабильной монеты, потерял все залоговое имущество на сумму 182 миллиона долларов в атаке мгновенного кредита, вызванной двумя злонамеренными предложениями по управлению, которые, в конце концов, истощили все средства из протокола.
Как прошла последняя атака
Компания по обеспечению безопасности блокчейна BlockSec проанализированы что злоумышленник занял 27,000 XNUMX wBTC в виде мгновенного кредита, обменяв небольшую сумму на токен LP, используемый для размещения залога в Inverse Finance, чтобы пользователи могли заимствовать криптоактивы.
Остаток wBTC был обменян на доллары США, что приводит к значительному росту цены обеспеченного токена LP злоумышленника в глазах ценового оракула. Поскольку стоимость этих токенов LP теперь стоит намного больше из-за роста цен, злоумышленник занял большую сумму, чем обычно, в стабильной монете DOLA.
Стоимость DOLA стоила намного больше, чем внесенный залог, поэтому злоумышленник обменял DOLA на USDT, а более ранний обмен wBTC на USDT был отменен для погашения первоначального мгновенного кредита.
Источник: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack.