Das Deus-Team hat erklärt, dass der jüngste Angriff nicht zum Verlust der Gelder seiner Nutzer geführt hat.
Deus Finance DAO hat einen weiteren Angriff erlitten und ETH im Wert von 13,4 Millionen Dollar an einen Hacker verloren, weniger als einen Monat, nachdem sie bei einem ähnlichen Flash Loan-Angriff für etwa 3 Millionen Dollar gehackt wurde.
Deus DAO hat durch die beiden Angriffe über 16 Millionen Dollar verloren
Das Blockchain-Sicherheitsunternehmen PeckShield berichtete zuerst über den Exploit und behauptete, dass der Hacker zwar rund 13,4 Millionen Dollar erbeutet hat, das Protokoll aber noch mehr verloren haben könnte.
Der @DeusDao wurde heute in https://t.co/USKNHhXeid ausgenutzt, wobei der Hacker etwa 13,4 Millionen Dollar gewonnen hat (der Protokollverlust könnte größer sein).
– PeckShield Inc. (@peckshield) April 28, 2022
Laut PeckShield nutzte der Hacker einen Blitzkredit, um das Preisorakel zu manipulieren und den Wert von DEI in die Höhe zu treiben. Dann benutzte der Hacker die aufgeblähten DEI als Sicherheit, um das Protokoll zu leihen und zu entleeren. Die Sicherheitslücke im März wurde mit der gleichen Methode ausgenutzt:
1/ @deusdao Deus Finance wurde in https://t.co/bfYCQcz5rZ ausgenutzt, was zu einem Gewinn von ~$3Mio. für den Hacker führte (Der Protokollverlust kann größer sein), einschließlich 200.000 DAI und 1101,8 ETH
– PeckShield Inc. (@peckshield) März 15, 2022
Der Hacker hob zunächst 800 ETH von Tornado Cash ab, um den Exploit zu imitieren, und schickte das Geld über Multichain an Fantom. Nachdem er das Geld gestohlen hatte, zahlte der Hacker den Flash-Kredit aus und schickte den Erlös an seine Wallet.
Es scheint, dass der Hacker den größten Teil des Erlöses aus der Wallet entfernt hat, da sich zum Zeitpunkt der Veröffentlichung nur noch 0,85 ETH in der Wallet befanden.
Deus Team Antwort
In ihrer ersten Reaktion hat die Deus Finance DAO zur Ruhe aufgerufen, nachdem sie bekannt gegeben hatte, dass ihr Team daran arbeitet. Das Protokoll behauptete, dass alle Benutzergelder sicher seien und kein Benutzer aufgrund des Exploits liquidiert wurde.
Die Multichain-Plattform für dezentrale Derivate erklärte außerdem, dass der $DEI-Peg wiederhergestellt ist und dass sie bald weitere Updates bereitstellen wird.
Das Entwicklerteam arbeitet an der DEI-Situation.
1. Die Benutzergelder sind sicher. Keine Benutzer wurden liquidiert.
2. Die DEI-Ausleihe wurde vorübergehend gestoppt.
3. Die $DEI Kopplung wurde wiederhergestellt.Weitere Details folgen.
– DEUS Finance DAO (@DeusDao) April 28, 2022
Ihr Gründer, der pseudonyme lafachief, war mit der Beschreibung des Exploits durch PeckShield nicht einverstanden.
Das ist nicht genau das, was passiert ist, ich werde etwas vorbereiten. https://t.co/7zwuPNdkly
– µ Lafa µ (@lafachief) April 28, 2022
Er fügte hinzu, dass das Protokoll „Muon Oracles not onchain“ verwendet und der Hacker „in der Lage war, VWAP-Preise von Muon zu manipulieren“. Er fuhr fort, dass der Angreifer „im Grunde einen Swap von ~2M USDC in 100k DEI fälschte“ und „damit den Muon-VWAP-Preis manipulierte. „
Das ist, was ich bis jetzt weiß:
Der Angreifer benutzte diesen tx, um den Muon-Preis zu manipulieren:https://t.co/G4hFwIjkBy
Muon prüft auf SWAPS innerhalb des Solidly-Pools, wir arbeiten daran, das zusammen mit Muon zu ändern, um mehr Quellen hinzuzufügen und Transaktionen herauszufiltern…
– µ Lafa µ (@lafachief) April 28, 2022
Lossless DeFi, ein Tool zur Eindämmung von Krypto-Hacks, bot Deus ebenfalls an, ihm bei der Ergreifung des Hackers zu helfen, wenn es zur Zusammenarbeit bereit wäre.
Hey @DeusDao Unser Team hat sich das angeschaut und wir glauben, dass wir den Übeltäter bei dir finden können. DMed you if you’d like to work together.
– Lossless (@losslessdefi) April 28, 2022
Einige Nutzer sind jedoch besorgt über die Sicherheit der Plattform, da derselbe Exploit in weniger als einem Monat zweimal aufgetreten ist.