Protokół open source oparty na Ethereum Inverse Finance doznał kolejnego włamania, które doprowadziło do utraty kryptowalut o wartości ponad 1.2 miliona dolarów. Exploit jest drugim atakiem platformy w ciągu dwóch miesięcy.
Inverse Finance ponownie wykorzystana
W ćwierkać wątek przez firmę PeckShield zajmującą się bezpieczeństwem blockchain w czwartek (16 czerwca 2022 r.) atak na Inverse Finance był możliwy ze względu na manipulację wyrocznią cenową. Chociaż PeckShield twierdzi, że haker zyskał w wyniku exploita około 1.26 miliona dolarów, firma zauważyła, że straty Inverse Finance mogą być wyższe.
Osoba atakująca skorzystała z pożyczki flash, aby wykorzystać wyrocznię cenową protokołu. Pożyczki błyskawiczne to szczególny rodzaj pożyczek łańcuchowych w przestrzeni kryptowalut, w ramach których użytkownik może pożyczyć środki z puli pożyczek bez składania zabezpieczenia, ale pożyczka musi zostać spłacona w tej samej transakcji.
Pożyczki błyskawiczne są zwykle wykorzystywane do pozyskiwania środków w celu wykorzystania możliwości arbitrażu w zdecentralizowanym ekosystemie finansowym. Arbitraż ma miejsce, gdy token ma dwie ceny notowane na dwóch różnych rynkach, co pozwala inwestorom tanio kupować na jednej platformie i szybko sprzedawać z zyskiem na innym rynku.
Pożyczki te mogą jednak zostać wykorzystane w złośliwy sposób przez wyzyskiwaczy, co miało miejsce w wielu przypadkach. Takie ataki często polegają na wykorzystaniu skrytki pożyczonych środków w celu zachwiania równowagi puli płynności w protokołach DeFi.
Dane dotyczące łańcucha pokazują, że exploit najpierw pożyczył 27,000 580 opakowanych bitcoinów (wBTC) o wartości około XNUMX milionów dolarów.
Ta pożyczona suma została wykorzystana do manipulowania danymi cenowymi protokołu, zaburzając równowagę płynności platformy. W rezultacie exploit był w stanie wyczerpać 53 BTC i 100,000 1.2 tetherów (USDT), co stanowiło łączną kwotę XNUMX miliona dolarów.
Jednakże protokół pożyczki wcześniej powiedziany że fundusze użytkowników są bezpieczne, dodając, że protokół wstrzymał zaciąganie pożyczek w celu zbadania sprawy.
„Inverse tymczasowo wstrzymał zaciąganie pożyczek po dzisiejszym porannym incydencie, w wyniku którego DOLA została usunięta z naszego rynku pieniężnego Frontier. Badamy incydent, jednak żadne środki użytkownika nie zostały pobrane ani nie były zagrożone. Prowadzimy dochodzenie i wkrótce podamy więcej szczegółów.”
Problemy z pożyczką błyskawiczną DeFi
Najnowszy exploit pojawił się dwa miesiące po tym, jak hakerzy wyssali z Inverse Finance kryptowalutę o wartości ponad 15 milionów dolarów. Według raportu autorstwa krypto.news, osoba atakująca wykorzystała lukę w zabezpieczeniach protokołu Keep3r Price Oracle, aby przeprowadzić atak.
Tymczasem w ostatnim czasie nastąpił wzrost liczby ataków w postaci pożyczek typu flash na protokoły DeFi. W kwietniu firma Beanstalk Farms straciła na rzecz hakerów kryptowaluty o wartości 76 milionów dolarów, a platforma zaoferowała atakującym 10% skradzionych środków, jeśli ci zwrócą pieniądze.
Agave i Hundred Finance również straciły kryptowalutę o wartości 11 milionów dolarów po tym, jak napastnicy wdrożyli exploit w postaci pożyczki flash. Atak miał miejsce 24 godziny po tym, jak hakerzy ukradli 3 miliony dolarów w DIA i Ether z protokołu DeFi Deus Finance.
Później w kwietniu Deus Finance została ponownie wykorzystana, a hakerzy dokonali kradzieży ponad $ 13 milionów.
Źródło: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/