Протокол Inverse Finance з відкритим кодом на основі Ethereum зазнав чергового зламу, який призвів до втрати криптовалют на суму понад 1.2 мільйона доларів. Експлойт – друга атака платформи за два місяці.
Знову використано зворотне фінансування
В нітка цвіріньте компанією PeckShield із захисту блокчейну у четвер (16 червня 2022 р.) атака на Inverse Finance стала можливою через маніпулювання ціновим оракулом. Хоча PeckShield заявив, що хакер отримав близько 1.26 мільйона доларів від експлойту, компанія зазначила, що збитки Inverse Finance можуть бути більшими.
Зловмисник, про який йде мова, використав флеш-позику для використання цінового оракула протоколу. Флеш-позики — це особливий тип кредитування в мережі криптовалют, де користувач може позичити кошти з пулу позик без розміщення застави, але позику необхідно погасити в рамках тієї ж транзакції.
Флеш-позики зазвичай використовуються для отримання коштів, щоб скористатися можливостями арбітражу в децентралізованій фінансовій екосистемі. Арбітраж — це коли токен має дві котировані ціни на двох різних ринках і, таким чином, дозволяє трейдерам купувати дешево на одній платформі та швидко продавати з прибутком на іншому ринку.
Однак ці позики можуть бути використані зловмисниками, як це було в багатьох випадках. Такі атаки часто передбачають використання схованки позичених коштів для розбалансування пулу ліквідності на протоколах DeFi.
Дані в мережі показують, що експлуататор вперше позичив 27,000 580 загорнутих біткойнів (wBTC) на суму близько XNUMX мільйонів доларів.
Ця позичена сума була використана для маніпулювання ціновими каналами протоколу, спотворюючи баланс ліквідності платформи. Результатом цього стало те, що експлуататор зміг вичерпати 53 BTC і 100,000 1.2 tether (USDT), що на загальну суму XNUMX мільйона доларів.
Проте протокол кредитування раніше сказав що кошти користувачів були в безпеці, додавши, що протокол зупинив позики для розслідування справи.
«Inverse тимчасово призупинила позики після інциденту сьогодні вранці, коли DOLA було вилучено з нашого грошового ринку Frontier. Ми розслідуємо цей інцидент, однак кошти користувачів не були залучені або під загрозою. Ми проводимо розслідування і найближчим часом надамо більше деталей».
Проблеми з флеш-позикою DeFi
Останній експлойт стався через два місяці після того, як хакери вичерпали криптовалюту на суму понад 15 мільйонів доларів у Inverse Finance. Згідно з повідомленням від crypto.news, зловмисник скористався вразливістю в оракулі ціни протоколу Keep3r для здійснення атаки.
Тим часом останнім часом спостерігається збільшення атак на флеш-позику на протоколи DeFi. Beanstalk Farms втратила криптовалюту на суму 76 мільйонів доларів від хакерів у квітні, а пізніше платформа запропонувала зловмисникам 10% викрадених коштів, якщо вони повернуть гроші.
Agave and Hundred Finance також втратила криптовалюту на суму 11 мільйонів доларів після того, як зловмисники застосували флеш-позику. Атака сталася через 24 години після того, як хакери вкрали 3 мільйони доларів DIA та ефіру з протоколу DeFi Deus Finance.
Пізніше в квітні Deus Finance знову задіяли, і хакери вкрали більше $ 13 мільйонів.
Джерело: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/