Le dva meseca po izgubi 15.6 milijona dolarjev zaradi izkoriščanja prerokov cen, je Inverse Finance znova prizadel flash posojilo izkoriščanje, zaradi katerega so se napadalci odnesli z 1.26 milijona dolarjev v Tetherju (USDT) in zavit Bitcoin (wBTC).
Inverse Finance je protokol decentraliziranega financiranja (DeFi), ki temelji na Ethereumu, hitro posojilo pa je vrsta kripto posojila, ki se običajno izposoja in vrne v eni transakciji. Oracles poročajo o zunanjih informacijah o cenah.
Najnovejši izkoriščanje je delovalo z uporabo hitrega posojila za manipuliranje s preročitvijo cene za žeton ponudnika likvidnosti (LP), ki ga uporablja aplikacija denarnega trga protokola. To je napadalcu omogočilo, da si je izposodil večjo količino stabilnega coina protokola, Dola (DOLA), od zneska zavarovanja, ki so ga dali, in jim omogočil, da si razliko pospravijo v žep.
Napad se zgodi nekaj več kot dva meseca po podobnem 2. aprilu izkoriščanje, pri katerem so napadalci umetno manipulirali z zavarovanimi cenami žetonov prek preročja cen, da bi črpali sredstva z uporabo napihnjenih cen.
Kot odgovor na napad je Inverse Finance začasno ustavila najemanje posojil in odstranila DOLA z denarnega trga, medtem ko je preiskoval dogodek, ki pravi, da nobena sredstva uporabnikov niso bila ogrožena.
Inverse je začasno zaustavil najemanje posojil po incidentu zjutraj, ko je bila DOLA odstranjena z našega denarnega trga Frontier. Incident preiskujemo, vendar niso bila vzeta sredstva uporabnika ali ogrožena. Preiskujemo in bomo kmalu posredovali več podrobnosti.
— Inverse+ (@InverseFinance) Junij 16, 2022
Kasneje potrjena da je bilo v incidentu prizadeto le napadalčevo deponirano zavarovanje in se je zaradi ukradene DOLA zadolžilo le do sebe. To spodbujal napadalca, da vrne sredstva v zameno za "velikodušno nagrado".
Povezano: Napadalci iz Osmosisa izkoriščajo LP 5 milijonov dolarjev, 2 milijona dolarjev so se kmalu vrnili
Napadalci so skupaj z napadom pridobili 99,976 USDT in 53.2 wBTC ter jih zamenjali v ETH, preden so vse skupaj poslali prek mešalnika kriptovalut Tornado Cash, s čimer so poskušali prikriti nezakonito pridobljene dobičke.
prejšnji napad aprila so napadalci odnesli 15.6 milijona dolarjev v etru (ETH), wBTC, Yearn.Finance (YFI) in DOLA.
DeFi tržnica Deus Finance marca utrpel podoben podvig, pri čemer napadalci manipulirajo z združevanjem cen znotraj orakla, kar vodi do dobička v višini 200,000 dai (DAI) in 1101.8 ETH, vrednih več kot 3 milijone dolarjev takrat.
Beanstalk Farms, protokol stabilnih coinov, ki temelji na kreditih, izgubil vse zavarovanje v vrednosti 182 milijonov dolarjev v napadu hitrega posojila, ki sta ga povzročila dva zlonamerna predloga upravljanja, ki sta na koncu izčrpala vsa sredstva iz protokola.
Kako je minil zadnji napad
Varnostno podjetje Blockchain BlockSec analizirati da si je napadalec izposodil 27,000 wBTC v hitrem posojilu, pri čemer je majhen znesek zamenjal za žeton LP, ki se uporablja za oddajo zavarovanja v Inverse Finance, tako da si lahko uporabniki izposodijo kripto sredstva.
Preostali wBTC je bil zamenjal za USDT, zaradi česar se je cena napadalčevega zavarovanega žetona LP v očeh cenovnega orakla znatno dvignila. Ker je vrednost teh žetonov LP zaradi dviga cene zdaj vredna veliko več, si je napadalec izposodil večji znesek kot običajno pri stabilnem coinu DOLA.
Vrednost DOLA je bila vredna veliko več kot deponirano zavarovanje, zato je napadalec zamenjal DOLA v USDT, prejšnja zamenjava wBTC v USDT pa je bila obrnjena za poplačilo prvotnega hitrega posojila.
Vir: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack