Inverse Finance dnes byly vyčerpány, protože útočník se dostal pryč s 15 miliony dolarů v kryptoměnách, než je vypral prostřednictvím Tornado Cash.
Inverse Finance je nejnovější obětí DeFi exploitu, který vedl ke ztrátě více než 15 milionů dolarů, odhalil tento víkend Peckshield. Firma zabývající se blockchainovou bezpečností zveřejnila tweet, ve kterém jednoduše uvedla: „Ahoj, @InverseFinance, možná se budeš chtít podívat,“ který byl spojen s transakcí na Etherscan.
Praní kryptoměn prostřednictvím Tornado Cash
Zneuživatel během několika posledních hodin odeslal stovky transakcí s Ethereem do Tornado Cash. Tornado Cash je mezi hackery a exploitery standardním nástrojem, kterým se snaží zamaskovat historii svých transakcí. Svou službu popisují jako nástroj, který „zlepšuje soukromí transakcí tím, že přeruší spojení v řetězci mezi zdrojovou a cílovou adresou. Používá inteligentní smlouvu, která přijímá vklady ETH, které může vybrat jiná adresa“.
Uživatelé si vygenerují náhodný klíč a spolu s bankovkou uloží ETH. Uživatel pak poskytne důkaz o klíči k bankovce z jiné peněženky, aby mohl ETH vybrat, čímž přeruší transakční řetězec, který „může propojit pouze uživatel vlastnící bankovku“.
Zneužití zahrnovalo věštírnu TWAP, která vyžaduje manipulaci s cenou tokenu řízení projektu DeFi s nízkou likviditou. TWAP je zkratka pro Time Weighted Average Price (časově vážená průměrná cena) a „je konstruována načtením kumulativní ceny z páru tokenů ERC20 na začátku a na konci požadovaného intervalu. Rozdíl této kumulativní ceny pak lze vydělit délkou intervalu a vytvořit tak TWAP pro dané období.“ Podrobné vysvětlení exploitu je k dispozici prostřednictvím vlákna vytvořeného komunitním ambasadorem Chainlinku, ChainLinkGod.
Další den, další manipulace s TWAP orákulem.
Poznámky:
1. Časový vzorek TWAP byl příliš krátký
2. Likvidita DEX je výrazně řidší než likvidita CEX.
3. Příležitosti pro on-chain arb odstraněny útočníkem
4. CEX-DEX arb se neuskutečnil
5. Cena na celém trhu nebyla ovlivněna stejně jako cena na DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
Inverzní finanční odpověď
Inverse Finance se dnes večer na Twitteru Spaces vyjádřila k událostem zneužití. Vysvětlují v něm, jak všechna rozhodnutí procházejí on-chain správou DAO. Nabízí se tedy otázka, zda to umožňuje rychlé rozhodování během krizí, jako je tato. Tým působil během Twitter Space extrémně klidně a vyrovnaně a manipulaci s orákulem popsal velmi věcně. Viní z toho „neefektivitu arbitráže“, protože zneuživatel použil 500 000 dolarů kolaterálu, aby během několika minut ukradl 15 milionů dolarů.
DAO nyní aktivovala pravidlo Guardian na Anchor, aby zabránila budoucím výpůjčkám prostřednictvím protokolu použitého během exploitu. To má „zmírnit případné budoucí útoky stejného druhu“. Dále vysvětlují, jak jim jejich „ochrana pegů“ umožňuje rychle obnovit tržní pegy a pobídky, které použili v důsledku exploitu. Prostor na Twitteru pokračuje dalších 30 minut a vysvětluje další funkce Inverse Finance v apelu na obnovení důvěry v projekt.
Exploity nejsou hacky.
Důležité je zde poznamenat, že osoba odpovědná za tuto akci není hacker, jak někteří mohou uvádět. Mnoho článků se v současné době ptá: „Když je DeFi tak skvělá, proč je stále hackována?“. Odpovědí je, že většina exploitů nejsou hacky. Během tohoto posledního incidentu nebyl prolomen žádný kód ani bezpečnostní oprávnění. Namísto toho využil jednotlivec nedopatření vývojářů.
DeFi zahrnuje mnoho pohyblivých částí, které jsou staré méně než pět let. Vzrušení z takových projektů je dostatečně vysoké, aby investoři byli ochotni vkládat prostředky do neověřených projektů v naději, že se budou těšit z nadměrných zisků.
Řídicí token společnosti Inverse Finance, INV, má obvykle průměrný denní objem kolem 900 000 USD s tržní kapitalizací 31 milionů USD. Dnes se objem díky exploitu zvýšil o 5000 % a TVL projektu je v současné době uváděn kolem 27 milionů dolarů. Tato čísla se zdají být pro svět kryptoměn nízká, ale ve skutečnosti se jedná o částky, které by většině lidí na celém světě změnily život. K provedení exploitu bylo zapotřebí 500 000 dolarů, což „útočníkovi“ přineslo 2 900% navýšení.
Vypráním peněz přes Tornado Cash se argument ve prospěch DeFi, že všechny transakce jsou dohledatelné, stává mnohem slabším. Jediný způsob, který vidím, je sledovat peníze. Zneuživatel poslal ETH v nominálních hodnotách 100, 10 a 1. V tomto případě se jedná o peníze v hodnotách 1, 2 a 3. V tomto případě by tedy sledování vyžadovalo vysledovat každý výběr těchto částek z Tornado Cash v dohledné době. Úkol, který není proveditelný. I kdyby toho bylo možné dosáhnout, neudělali nic nezákonného. V rozporu s podmínkami používání? S největší pravděpodobností ano. Pochybně eticky? Jistě, ale jak víme, regulace DeFi je vyvíjející se oblast a tento incident vznikl tím, že někdo provedl zcela legální obchody na veřejném blockchainu.
Na DeFi se teprve pracuje. Zdůrazňuje rostoucí potřebu lepších postupů a zvýšeného testování při vývoji webu3. Doufáme, že důvěra veřejnosti nebude zničena téměř každodenními zprávami o zneužití DeFi.
