Zaledwie dwa miesiące po stracie 15.6 miliona dolarów w wyniku manipulacji wyrocznią cenową, Inverse Finance ponownie została dotknięta atakiem pożyczka błyskawiczna exploit, dzięki któremu napastnicy uciekli z 1.26 milionami dolarów w Tether (USDT) i opakowany Bitcoin (wBTC).
Inverse Finance to protokół zdecentralizowanych finansów (DeFi) oparty na Ethereum, a pożyczka typu flash to rodzaj pożyczki kryptograficznej, która jest zwykle pożyczana i zwracana w ramach jednej transakcji. Oracle przekazują zewnętrzne informacje o cenach.
Najnowszy exploit działał poprzez wykorzystanie pożyczki flash do manipulowania wyrocznią cenową dla tokena dostawcy płynności (LP) używanego przez aplikację rynku pieniężnego protokołu. To pozwoliło atakującemu pożyczyć większą ilość stablecoina protokołu, Dola (DOLA), niż kwota zabezpieczenia, które złożyli, co pozwoliło mu zgarnąć różnicę.
Atak następuje nieco ponad dwa miesiące po podobnym 2 kwietnia wykorzystać, w wyniku którego napastnicy sztucznie manipulują cenami zabezpieczonych tokenów za pośrednictwem wyroczni cenowej w celu drenażu środków przy użyciu zawyżonych cen.
W odpowiedzi na atak Inverse Finance tymczasowo wstrzymało zaciąganie pożyczek i na czas usunięcia DOLA z rynku pieniężnego zbadał incydent, twierdząc, że środki żadnego użytkownika nie są zagrożone.
Inverse tymczasowo wstrzymał zaciąganie pożyczek po dzisiejszym porannym incydencie, w wyniku którego DOLA została usunięta z naszego rynku pieniężnego Frontier. Badamy incydent, jednak żadne środki użytkownika nie zostały pobrane ani nie były zagrożone. Prowadzimy dochodzenie i wkrótce podamy więcej szczegółów.
— Inverse+ (@InverseFinance) 16 czerwca 2022 r.
To później Zatwierdzony że incydent miał wpływ jedynie na zabezpieczenie zdeponowane przez osobę atakującą i zaciągnął jedynie wobec siebie dług z powodu skradzionej DOLA. To namawiał atakującego do zwrotu środków w zamian za „hojną nagrodę”.
Związane z: Atakujący plądrują 5 milionów dolarów z Osmosis w exploitie LP, wkrótce potem wróciło 2 miliony
W sumie atakujący pozyskali z ataku 99,976 53.2 USDT i XNUMX wBTC, zamieniając je na ETH przed wysłaniem ich przez mikser kryptowalut Tornado Cash, próbując zaciemnić nieuczciwie zdobyte zyski.
Poprzedni atakować w kwietniu napastnicy uciekli z 15.6 milionami dolarów w Ether (ETH.), wBTC, Rok.Finanse (I FI) i DOLA.
Rynek DeFi Deus Finance w marcu doświadczył podobnego wyczynu, przy czym napastnicy manipulują parowaniem cen w wyroczni, co prowadzi do zysku w wysokości 200,000 XNUMX Dai (DAI) i 1101.8 ETH, warte wówczas ponad 3 miliony dolarów.
Beanstalk Farms, protokół stablecoin oparty na kredytach, stracił całe zabezpieczenie o wartości 182 milionów dolarów w ataku typu flash pożyczka spowodowanym dwiema złośliwymi propozycjami zarządzania, który ostatecznie wyczerpał wszystkie środki z protokołu.
Jak zakończył się ostatni atak
Firma zajmująca się bezpieczeństwem Blockchain BlockSec analizowane że atakujący pożyczył 27,000 XNUMX wBTC w ramach pożyczki flash, zamieniając niewielką kwotę na token LP używany do księgowania zabezpieczenia w Inverse Finance, aby użytkownicy mogli pożyczać aktywa kryptograficzne.
Pozostały wBTC był zamieniony na USDT, powodując znaczny wzrost ceny zabezpieczonego tokena LP atakującego w oczach wyroczni cenowej. Ponieważ wartość tych tokenów LP jest obecnie znacznie większa ze względu na wzrost cen, osoba atakująca pożyczyła większą niż zwykle kwotę stablecoina DOLA.
Wartość DOLA była warta znacznie więcej niż zdeponowane zabezpieczenie, więc atakujący zamienił DOLA na USDT, a wcześniejsza zamiana wBTC na USDT została odwrócona, aby spłacić pierwotną pożyczkę flash.
Źródło: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack