Всього через два місяці після втрати 15.6 мільйонів доларів США через маніпуляцію з цінами, Inverse Finance знову постраждала від флеш-кредит експлойт, завдяки якому зловмисники отримали 1.26 мільйона доларів у Tether (USDT) і Wrapped Bitcoin (wBTC).
Inverse Finance — це протокол децентралізованого фінансування на основі Ethereum (DeFi), а флеш-кредит — це тип криптопозики, який зазвичай позичається та повертається в межах однієї транзакції. Оракули повідомляють інформацію про зовнішню ціну.
Останній експлойт спрацював, використовуючи флеш-позику для маніпулювання оракулом ціни для токена постачальника ліквідності (LP), який використовується програмою грошового ринку протоколу. Це дозволило зловмиснику позичити більшу суму стейблкоіну протоколу, Dola (DOLA), ніж суму застави, яку вони опублікували, дозволяючи їм забрати різницю.
Атака сталася трохи більше ніж через два місяці після аналогічного 2 квітня експлуатувати, у якому зловмисники штучно маніпулювали цінами на токени, забезпечені заставою, через ціновий оракул, щоб викачати кошти за допомогою завищених цін.
У відповідь на атаку Inverse Finance тимчасово призупинила позики та видалила DOLA з грошового ринку, поки вона розслідував інцидент, сказавши, що кошти користувачів не знаходяться під загрозою.
Inverse тимчасово призупинив позики після інциденту сьогодні вранці, коли DOLA було вилучено з нашого грошового ринку Frontier. Ми розслідуємо цей інцидент, однак кошти користувачів не були залучені або під загрозою. Ми проводимо розслідування і незабаром надамо більше деталей.
— Inverse+ (@InverseFinance) 16 Червня, 2022.
Це пізніше підтверджений що в результаті інциденту постраждало лише заставне майно зловмисника і воно заборговалося лише перед собою через викрадену DOLA. Це закликав зловмисника повернути кошти в обмін на «щедру винагороду».
Загалом зловмисники отримали від атаки 99,976 53.2 USDT і XNUMX wBTC, обмінявши їх на ETH, перш ніж відправити це все через криптовалютний змішувач Tornado Cash, намагаючись приховати неправомірно отримані вигоди.
Попередня атака У квітні зловмисники отримали 15.6 мільйонів доларів в ефірі (ETH), wBTC, Yearn.Finance (І FI) і DOLA.
Торгова площадка DeFi Deus Finance у березні постраждав від подібного подвигу, коли зловмисники маніпулюють ціною в оракулі, що призводить до прибутку в 200,000 XNUMX дай (DAI) і 1101.8 ETH, на той момент вартістю понад 3 мільйони доларів.
Beanstalk Farms, кредитний протокол стейблкоін, втратив усі застави на суму 182 мільйони доларів у миттєвій атаці позики, викликаної двома зловмисними пропозиціями управління, які врешті-решт витягли всі кошти з протоколу.
Як пройшов останній напад
Блокчейн-захисна фірма BlockSec проаналізовані що зловмисник позичив 27,000 XNUMX wBTC у вигляді миттєвої позики, замінивши невелику суму на токен LP, який використовується для розміщення застави в Inverse Finance, щоб користувачі могли позичати криптоактиви.
Залишок wBTC був замінено на USDT, що спричиняє значне зростання ціни заставного токена LP зловмисника в очах цінового оракула. Оскільки вартість цих токенів LP зараз коштує набагато більше через зростання ціни, зловмисник позичив більшу суму, ніж зазвичай для стейблкоіна DOLA.
Вартість DOLA коштувала набагато більше, ніж депонована застава, тому зловмисник обміняв DOLA на USDT, а попередній обмін wBTC на USDT був скасований для погашення початкової миттєвої позики.
Джерело: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack