Inverse Finance 16 czerwca doznał kolejnego atakować, z wykorzystaniem exploita manipulacji ceną wyroczni, który pozwala hakerowi ukraść około 1.3 miliona dolarów, co skutkuje stratą 5.8 miliona dolarów na protokole.
Firma PeckShield zajmująca się bezpieczeństwem Blockchain ujawniła szczegóły incydentu w serii tweetów.
4/ Początkowy fundusz (1 ETH) na uruchomienie hacka jest wypłacany z @TornadoCash. Obecnie na koncie hakera nadal pozostaje 68 ETH nielegalnych zysków https://t.co/lEA5jmsGXZ… a 1000 ETH zostało zdeponowanych w @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) 16 czerwca 2022 r.
Ten niedawny atak sprawia, że jest to drugi atak na protokół DeFi na przestrzeni dwóch miesięcy. Na początku kwietnia Inverse Finance doznał ataku, który doprowadził do utraty 15.6 miliona dolarów.
Exploit
Niepełna raport ataku został później opublikowany na stronie internetowej Inverse Finance.
Raport wyjaśnia, że exploit miał miejsce na rynku yvcrv3crypto, który wykorzystywał dane cenowe Chainlink zamiast wewnętrznego kursu walutowego protokołu Curve.
Inverse Finance powiedział, że rozbieżność w cenie pozwoliła hakerowi na zaciągnięcie pożyczki błyskawicznej w wysokości 27,000 XNUMX owiniętych bitcoinów (wBTC) — zmodyfikowaną wersję Bitcoin, który ma taką samą cenę, ale może być używany w Ethereum (ETH.) sieć.
Następnie atakujący wymienił wBTC na pulę tricrypto, co doprowadziło do wzrostu ceny tokena yvcrv3crypto LP na wyroczni cen i pozwoliło hakerowi pożyczyć DOLA — stablecoin Inverse FInance — pod tym zabezpieczeniem na platformie Frontier Inverse FInance.
PeckShield, korzystając z danych Etherscan, powiedział w tweecie, że 68 ETH ze skradzionej kwoty jest nadal u hakera, a 1,000 ETH zostało zdeponowanych w Tornado Cash, mikserze kryptowalut, który miesza różne strumienie potencjalnie identyfikowalnej kryptowaluty, aby zwiększyć anonimowość i utrudnić transakcje śledzić.
Inverse Finance” powiedział, że żadne zabezpieczenie zdeponowane przez użytkownika nie zostało naruszone w wyniku włamania, ale zauważył, że Frontier Fed, Inverse Finance DAO poniósł 5.8 miliona dolarów z tytułu złego zadłużenia DOLA. Jest to dodatek do około 3.8 miliona dolarów długu DOLA zaciągniętego podczas kwietniowego włamania.
Protokół DeFi dodał, że ponieważ incydent nie dotknął bezpośrednio żadnego indywidualnego użytkownika, nie są wymagane żadne zmiany w jego planie naprawczym dla użytkowników dotkniętych kwietniowym incydentem.
Inverse Finance obiecuje szereg działań
Inverse FInance wyszczególniło szereg środków bezpieczeństwa, które obejmują plany odzyskania środków i zapewnienia dodatkowego bezpieczeństwa na platformie DeFi.
Obejmowało to otwarty apel do hakera o zwrot środków na „hojną nagrodę”. Ponadto DAO obiecało udostępnić dane o ataku każdemu, kto zechce pomóc w odzyskaniu środków na nagrodę.
Inverse FInance poinformował, że nabył usługi RiskDAO, zespołu ekspertów ds. bezpieczeństwa, aby przyjrzeć się atakowi, a także zatrudnia dodatkowych pracowników ds. bezpieczeństwa.
Wreszcie, Inverse FInance wstrzymało zaciąganie pożyczek na wszystkie aktywa na platformie Frontier, ale spodziewa się, że wkrótce zostanie wznowione zaciąganie pożyczek na aktywa za pomocą kanałów tylko Chainlink, a także INV.
Źródło: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/