La doar două luni după ce a pierdut 15.6 milioane de dolari într-un exploit de manipulare a prețurilor, Inverse Finance a fost din nou lovită de un împrumut flash exploit care i-a văzut pe atacatori să scape cu 1.26 milioane de dolari în Tether (USDT) și Wrapped Bitcoin (wBTC).
Inverse Finance este un protocol de finanțare descentralizată (DeFi) bazat pe Ethereum, iar un împrumut flash este un tip de împrumut cripto care este de obicei împrumutat și returnat într-o singură tranzacție. Oracles raportează informații din afara prețurilor.
Cel mai recent exploit a funcționat prin utilizarea unui împrumut rapid pentru a manipula oracolul prețului pentru un jeton al furnizorului de lichiditate (LP) utilizat de aplicația de piață monetară a protocolului. Acest lucru a permis atacatorului să împrumute o sumă mai mare din moneda stabilă a protocolului, Dola (DOLA), decât cantitatea de garanție pe care a postat-o, permițându-i să-și pună în buzunar diferența.
Atacul vine la puțin peste două luni după un 2 aprilie similar exploata, care i-a văzut pe atacatori manipulând în mod artificial prețurile jetoanelor garantate printr-un oracol de preț pentru a scurge fonduri folosind prețurile umflate.
Ca răspuns la atac, Inverse Finance a întrerupt temporar împrumutul și a scos DOLA de pe piața monetară în timp ce acesta a investigat incidentul, spunând că niciun fond de utilizator nu este în pericol.
Inverse a întrerupt temporar împrumuturile în urma unui incident în această dimineață în care DOLA a fost eliminată de pe piața noastră monetară, Frontier. Investigăm incidentul, însă nu au fost preluate fonduri sau au fost în pericol. Investigăm și vom oferi mai multe detalii în curând.
— Inverse+ (@InverseFinance) 16 Iunie, 2022
Mai târziu confirmat că doar garanția depusă de atacator a fost afectată în incident și a contractat doar o datorie față de sine din cauza DOLA furată. Aceasta l-a încurajat pe atacator să returneze fondurile în schimbul unei „recompense generoase”.
În total, atacatorii au câștigat 99,976 USDT și 53.2 wBTC în urma atacului, schimbându-i la ETH înainte de a trimite totul prin mixerul de criptomonede Tornado Cash, încercând să înfunde câștigurile obținute rău.
Anterior ataca în aprilie, atacatorii au scapat cu 15.6 milioane de dolari în Ether (ETH), wBTC, Yearn.Finance (YFI) și DOLA.
Piața DeFi Deus Finance a suferit o exploatare similară în martie, cu atacatorii care manipulează o pereche de preț într-un oracol conducând la un câștig de 200,000 Dai (DAI) și 1101.8 ETH, în valoare de peste 3 milioane USD la acea vreme.
Beanstalk Farms, un protocol stablecoin bazat pe credit, a pierdut toate garanțiile în valoare de 182 de milioane de dolari într-un atac de împrumut rapid cauzat de două propuneri de guvernanță rău intenționate, care, în cele din urmă, au scurs toate fondurile din protocol.
Cum a avut loc ultimul atac
Firma de securitate blockchain BlockSec analizate că atacatorul a împrumutat 27,000 de wBTC într-un împrumut rapid, schimbând o sumă mică cu jetonul LP folosit pentru a posta garanții în Inverse Finance, astfel încât utilizatorii să poată împrumuta active cripto.
WBTC rămas a fost schimbat la USDT, ceea ce face ca prețul jetonului LP garantat al atacatorului să crească semnificativ în ochii oracolului prețului. Având în vedere că valoarea acestor jetoane LP valorează acum mult mai mult din cauza creșterii prețului, atacatorul a împrumutat o sumă mai mare decât de obicei din moneda stabilă DOLA.
Valoarea DOLA valorează mult mai mult decât garanția depusă, așa că atacatorul a schimbat DOLA în USDT, iar schimbul anterioară de wBTC cu USDT a fost inversat pentru a rambursa împrumutul inițial.
Sursa: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack