Len dva mesiace po strate 15.6 milióna dolárov pri manipulácii s cenovými orákmi bola spoločnosť Inverse Finance opäť zasiahnutá blesková pôžička exploit, vďaka ktorému útočníci zarobili 1.26 milióna dolárov v Tether (USDT) a zabalené bitcoiny (wBTC).
Inverse Finance je protokol decentralizovaných financií (DeFi) založený na Ethereu a blesková pôžička je typ kryptopôžičky, ktorá sa zvyčajne požičiava a vracia v rámci jednej transakcie. Oracle hlásia externé informácie o cenách.
Najnovšie využitie fungovalo pomocou bleskovej pôžičky na manipuláciu cenového orákula pre token poskytovateľa likvidity (LP), ktorý používa protokolová aplikácia peňažného trhu. To umožnilo útočníkovi požičať si väčšie množstvo stablecoinu protokolu, Dola (DOLA), ako bolo množstvo kolaterálu, ktorý zložili, a rozdiel im umožnilo strčiť do vrecka.
Útok prichádza niečo vyše dvoch mesiacov po podobnom 2. apríli využiť, ktorá videla útočníkov umelo manipulovať kolateralizované ceny tokenov prostredníctvom cenového orákula, aby odčerpali finančné prostriedky pomocou nafúknutých cien.
V reakcii na útok spoločnosť Inverse Finance dočasne pozastavila pôžičky a odstránila DOLA z peňažného trhu incident vyšetrovals tým, že neboli ohrozené žiadne prostriedky používateľov.
Spoločnosť Inverse dočasne pozastavila pôžičky po incidente z dnešného rána, keď bola spoločnosť DOLA odstránená z nášho peňažného trhu Frontier. Incident vyšetrujeme, no žiadne finančné prostriedky od používateľov neboli prijaté ani neboli ohrozené. Vyšetrujeme a čoskoro poskytneme ďalšie podrobnosti.
— Inverse+ (@InverseFinance) Júna 16, 2022
To neskôr potvrdené že incidentom bola zasiahnutá len útočníkova zložená zábezpeka a len voči sebe si vytvorila dlh kvôli ukradnutému DOLA. to vyzval útočníka, aby peniaze vrátil výmenou za „štedrú odmenu“.
Útočníci celkovo získali z útoku 99,976 53.2 USDT a XNUMX wBTC, prehodili ich na ETH predtým, ako to všetko poslali cez miešač kryptomien Tornado Cash, čím sa pokúsili zahmliť neoprávnene získané zisky.
Predchádzajúci útok v apríli videli útočníci zarobiť 15.6 milióna dolárov v éteri (ETH), wBTC, Yearn.Finance (YFI) a DOLA.
Trhovisko DeFi Deus Finance trpel podobným zneužitím v marci, pričom útočníci manipulujú s párovaním cien v rámci orákula, čo vedie k zisku 200,000 XNUMX Dai (DAI) a 1101.8 ETH, v tom čase v hodnote viac ako 3 milióny dolárov.
Beanstalk Farms, úverový stabilný protokol, prišiel o všetky záruky v hodnote 182 miliónov dolárov v bleskovom pôžičkovom útoku spôsobenom dvoma zlomyseľnými návrhmi riadenia, ktoré nakoniec odčerpali všetky prostriedky z protokolu.
Ako dopadol najnovší útok
Blockchain bezpečnostná firma BlockSec analyzované že útočník si požičal 27,000 XNUMX wBTC vo forme bleskovej pôžičky, pričom vymenil malú sumu za token LP, ktorý sa používa na poskytnutie záruky v Inverse Finance, aby si používatelia mohli požičať krypto aktíva.
Zostávajúce wBTC bolo vymenené za USDT, čo spôsobilo, že cena útočníkovho kolateralizovaného tokenu LP v očiach cenového orákula výrazne vzrástla. Vzhľadom na to, že hodnota týchto LP tokenov má teraz oveľa vyššiu hodnotu v dôsledku nárastu ceny, útočník si požičal väčšiu sumu ako zvyčajne v prípade stablecoinu DOLA.
Hodnota DOLA mala oveľa väčšiu hodnotu ako uložený kolaterál, takže útočník vymenil DOLA za USDT a skorší swap wBTC na USDT bol zvrátený, aby splatil pôvodný bleskový úver.
Zdroj: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack