Inverse Finance днес беше източен, тъй като атакуващ направи опит да се измъкне с 15 милиона долара в криптовалута, преди да ги изпере чрез Tornado Cash.
Inverse Finance е най-новата жертва на DeFi експлойт, довел до загубата на над 15 млн. долара, разкри Peckshield този уикенд. Фирмата за блокчейн сигурност публикува туит, в който просто се казва: „Здравей, @InverseFinance, може би искаш да погледнеш“, свързан с транзакция в Etherscan.
Промиване на криптовалути чрез Tornado Cash
През последните няколко часа използвачът е изпратил стотици трансакции с Ethereum към Tornado Cash. Tornado Cash е стандартен инструмент сред хакерите и експлоатиращите, с който се опитват да замажат историята на транзакциите си. Те описват услугата си като инструмент, който „подобрява поверителността на трансакциите, като прекъсва връзката във веригата между адресите на източника и местоназначението. Тя използва интелигентен договор, който приема депозити на ETH, които различен адрес може да изтегли“.
Потребителите генерират случаен ключ и депозират ETH заедно с бележката. След това потребителят предоставя доказателство за ключа към бележката от друг портфейл, за да изтегли ETH, като по този начин прекъсва веригата на транзакциите, според която „само потребителят, притежаващ бележката, може да свърже депозита и изтеглянето“.
Експлойтът включваше TWAP оракул, който изисква манипулиране на цената на токена за управление на проект DeFi с ниска ликвидност. TWAP е съкращение от Time Weighted Average Price (среднопретеглена цена във времето) и „се конструира чрез прочитане на кумулативната цена от двойка токени ERC20 в началото и в края на желания интервал. След това разликата в тази кумулативна цена може да се раздели на дължината на интервала, за да се създаде TWAP за този период“. Подробно обяснение на експлойта е достъпно чрез тема, създадена от посланика на общността на Chainlink, ChainLinkGod.
Друг ден, поредната манипулация на TWAP оракула
Бележки:
1. Времевата извадка на TWAP е твърде кратка
2. Ликвидността на DEX е значително по-малка от тази на CEX
3. Възможностите за арб на веригата са премахнати от нападателя
4. CEX-DEX arb не се е състоял
5. Цената на целия пазар не е толкова засегната, колкото цената на DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
Отговорът на инверсните финанси
Inverse Finance се включи в Twitter Spaces тази вечер, за да разкаже за събитията, свързани с експлойта. В него те обясняват как всички решения преминават през управлението на веригата на DAO. По този начин се повдига въпросът дали това позволява бързото вземане на решения по време на кризи като тази. Екипът изглеждаше изключително спокоен и събран по време на Twitter Space, описвайки манипулацията на оракула много вещо. Те обвиняват „арбитражната неефективност“, тъй като експлоатиращият е използвал 500 000 долара обезпечение, за да открадне 15 милиона долара за минути.
DAO вече е активирала правилото Guardian на Anchor, за да предотврати бъдещи заеми чрез протокола, използван по време на експлойта. Това има за цел да „смекчи всякакви бъдещи атаки от същия вид“. След това те обясняват как тяхната „защита на колчетата“ им позволява бързо да възстановят пазарните колчета и стимули, които са използвали след експлойта. Пространството в Twitter продължава още 30 минути, като обяснява други функции на Inverse Finance в призив да се възстанови доверието в проекта.
Експлойтите не са хакове.
Важното, което трябва да се отбележи тук, е, че лицето, отговорно за това действие, не е хакер, както може би съобщават някои. В момента в много статии се задава въпросът: „Ако DeFi е толкова велик, защо продължава да бъде хакван?“. Отговорът е, че повечето експлойти не са хакове. По време на този последен инцидент не са били разбити никакви кодове или разрешения за сигурност. Вместо това едно лице се е възползвало от пропуск на разработчиците.
DeFi включва много движещи се части, които са на по-малко от пет години. Вълнението за такива проекти е достатъчно голямо, за да могат инвеститорите да депозират средства в недоказани проекти с надеждата да се радват на извънредно големи печалби.
Управленският токен на Inverse Finance, INV, обикновено има среден дневен обем от около 900 000 долара с пазарна капитализация от 31 млн. долара. Днес обемът е нараснал с 5000% благодарение на експлойта, а TVL на проекта в момента се отчита на около 27 млн. долара. Тези цифри изглеждат ниски за света на криптовалутите, но в действителност са суми, които биха променили живота на повечето хора по света. За изпълнението на експлойта са били необходими 500 000 долара, което е довело до 2900% увеличение за „нападателя“.
Чрез изпирането на парите чрез Tornado Cash аргументът в полза на DeFi, че всички транзакции са проследими, става много по-слаб. Единственият начин, който виждам, е да се проследят парите. Експлоататорът е изпратил ETH в купюри от 100, 10 и 1 лев. Следователно в този случай проследяването му би изисквало проследяване на всяко теглене на тези суми от Tornado Cash в обозримо бъдеще. Задача, която не е жизнеспособна. Дори това да можеше да бъде постигнато, те не са извършили нищо незаконно. Против условията за ползване? Най-вероятно. Съмнително етично? Със сигурност, но, както знаем, регулирането на DeFi е развиваща се област, а този инцидент стана благодарение на това, че някой е направил напълно законни сделки в публичен блокчейн.
DeFi е в процес на разработка. Тя подчертава нарастващата необходимост от по-добри практики и засилено тестване при разработването на уеб3. Надяваме се общественото доверие да не бъде разрушено от почти ежедневните съобщения за експлойти на DeFi.
