Inverse Finance uvedla, že zneužití manipulace s cenou orákula umožnilo hackerovi ukrást asi 1,3 milionu dolarů, což způsobilo protokolu ztrátu 5,8 milionu dolarů.
Inverse Finance 16. června utrpěla další útok, přičemž exploit pro manipulaci s cenou v systému oracle umožnil hackerovi ukrást přibližně 1,3 milionu dolarů a způsobil protokolu ztrátu 5,8 milionu dolarů.
Společnost PeckShield, která se zabývá zabezpečením blockchainu, odhalila podrobnosti incidentu v sérii tweetů.
4/ Počáteční prostředky (1 ETH) na spuštění hackerského útoku jsou staženy z @TornadoCash V současné době zůstává na hackerském účtu https://t.co/lEA5jmsGXZ stále 68 ETH z nelegálních zisků… a 1000 ETH bylo uloženo na @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) June 16, 2022
Tento nedávný útok je druhým útokem na protokol DeFi v průběhu dvou měsíců. Začátkem dubna došlo k útoku na společnost Inverse Finance, který vedl ke ztrátě 15,6 milionu dolarů.
Zneužití
Komplexní zpráva o útoku byla později zveřejněna na webových stránkách společnosti Inverse Finance.
Zpráva vysvětluje, že k exploitu došlo na kryptografickém trhu yvcrv3crypto, který místo interního kurzu protokolu Curve používal údaje o ceně Chainlink.
Inverse Finance uvedl, že rozdíl v ceně umožnil hackerovi vzít si bleskovou půjčku ve výši 27 000 Wrapped Bitcoin (wBTC) – upravenou verzi Bitcoinu, která má stejnou cenu, ale lze ji použít v síti Ethereum (ETH).
Útočník poté vyměnil wBTC do tricrypto poolu, což vedlo k prudkému nárůstu ceny tokenu yvcrv3crypto LP na cenovém orákulu a umožnilo hackerovi půjčit si proti této zástavě DOLA – stablecoin společnosti Inverse FInance – na platformě Frontier společnosti Inverse FInance.
PeckShield na základě údajů Etherscan na Twitteru uvedl, že 68 ETH z ukradené částky je stále u hackera a 1 000 ETH bylo uloženo do Tornado Cash, kryptoměnového mixéru, který míchá různé toky potenciálně identifikovatelných kryptoměn, aby zvýšil anonymitu a ztížil vystopování transakcí.
Inverse FInance‘ uvedla, že hackerský útok neovlivnil žádný kolaterál uložený uživateli, ale poznamenala, že Frontier Fed, Inverse Finance DAO vznikl nedobytný dluh DOLA ve výši 5,8 milionu dolarů. To je navíc k dluhu DOLA ve výši zhruba 3,8 milionu dolarů, který vznikl při dubnovém hacknutí.
Protokol DeFi dodal, že vzhledem k tomu, že incident neměl přímý dopad na žádné jednotlivé uživatele, nejsou nutné žádné změny v jeho plánu nápravy pro uživatele postižené dubnovým incidentem.
Inverse Finance slibuje řadu opatření
Inverse FInance podrobně popsala řadu bezpečnostních opatření, která zahrnují plány na navrácení finančních prostředků a zajištění další bezpečnosti na platformě DeFi.
Součástí toho byla i otevřená výzva hackerovi, aby prostředky vrátil za „štědrou odměnu“. Kromě toho DAO slíbila, že zpřístupní údaje o útoku každému, kdo bude ochoten za odměnu pomoci při navrácení prostředků.
Společnost Inverse FInance uvedla, že k prozkoumání útoku získala služby týmu bezpečnostních expertů RiskDAO a najímá také další zaměstnance pro bezpečnostní operace.
Nakonec společnost Inverse FInance pozastavila výpůjčky na všech aktivech na platformě Frontier, ale očekává, že výpůjčky na aktivech s kanály pouze Chainlink a také INV budou brzy obnoveny.
