Inverse Finance sagte, dass ein Hacker durch einen Orakelpreis-Manipulations-Exploit etwa 1,3 Millionen Dollar stehlen konnte, was zu einem Verlust von 5,8 Millionen Dollar für das Protokoll führte.
Inverse Finance wurde am 16. Juni von einem weiteren Angriff heimgesucht, bei dem ein Hacker durch einen Orakelpreis-Manipulations-Exploit rund 1,3 Millionen Dollar stehlen konnte, was zu einem Verlust von 5,8 Millionen Dollar für das Protokoll führte.
Das Blockchain-Sicherheitsunternehmen PeckShield enthüllte die Details des Vorfalls in einer Reihe von Tweets.
4/ Der anfängliche Fonds (1 ETH), um den Hack zu starten, wird von @TornadoCash abgezogen. Derzeit befinden sich noch 68 ETHs der illegalen Gewinne auf dem Konto des Hackers https://t.co/lEA5jmsGXZ.. und 1000 ETHs wurden auf @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) Juni 16, 2022
Dieser jüngste Angriff ist bereits der zweite Angriff auf das DeFi-Protokoll innerhalb von zwei Monaten. Anfang April wurde Inverse Finance Opfer eines Angriffs, der zu einem Verlust von 15,6 Millionen Dollar führte.
Der Exploit
Ein umfassender Bericht über den Angriff wurde später auf der Website von Inverse Finance veröffentlicht.
Der Bericht erklärt, dass der Angriff auf dem yvcrv3crypto-Markt stattfand, der Chainlink-Preisdaten anstelle des internen Wechselkurses des Curve-Protokolls verwendete.
Laut Inverse Finance ermöglichte es die Preisdiskrepanz dem Hacker, ein Flash-Darlehen in Höhe von 27.000 Wrapped Bitcoin (wBTC) aufzunehmen – eine modifizierte Version von Bitcoin, die den gleichen Preis hat, aber im Ethereum-Netzwerk (ETH) verwendet werden kann.
Der Angreifer handelte dann die wBTC in den Tricrypto-Pool, was zu einem Preisanstieg des yvcrv3crypto LP-Tokens auf dem Preisorakel führte und es dem Hacker ermöglichte, DOLA – den Stablecoin von Inverse FInance – gegen diese Sicherheit auf der Frontier-Plattform von Inverse FInance auszuleihen.
PeckShield, das Etherscan-Daten verwendet, sagte in einem Tweet, dass 68 ETH des gestohlenen Betrags immer noch bei dem Hacker sind und 1.000 ETH auf Tornado Cash eingezahlt wurden, einem Kryptowährungsmixer, der verschiedene Ströme potenziell identifizierbarer Kryptowährungen mischt, um die Anonymität zu erhöhen und Transaktionen schwerer zu verfolgen.
Inverse FInance‘ sagte, dass keine von Benutzern hinterlegten Sicherheiten von dem Hack betroffen waren, stellte aber fest, dass die Frontier Fed, Inverse Finance DAO 5,8 Millionen Dollar an uneinbringlichen DOLA-Schulden erlitten hat. Dies ist zusätzlich zu den etwa 3,8 Millionen Dollar DOLA-Schulden, die beim April-Hack entstanden sind.
Das DeFi-Protokoll fügte hinzu, dass, da keine einzelnen Nutzer direkt von dem Vorfall betroffen waren, keine Änderungen am Wiedergutmachungsplan für die vom Vorfall im April betroffenen Nutzer erforderlich sind.
Inverse Finance verspricht eine Reihe von Maßnahmen
Inverse FInance hat eine Reihe von Sicherheitsmaßnahmen angekündigt, darunter Pläne zur Rückerstattung der Gelder und zur Gewährleistung zusätzlicher Sicherheit auf der DeFi-Plattform.
Dazu gehörte ein offener Appell an den Hacker, die Gelder gegen ein „großzügiges Kopfgeld“ zurückzugeben. Darüber hinaus versprach die DAO, die Daten des Angriffs jedem zur Verfügung zu stellen, der bereit ist, gegen eine Belohnung bei der Wiederbeschaffung der Gelder zu helfen.
Inverse FInance gab an, dass es die Dienste von RiskDAO, einem Team von Sicherheitsexperten, in Anspruch genommen hat, um den Angriff zu untersuchen, und dass es außerdem zusätzliches Personal für Sicherheitsoperationen einstellt.
Schließlich hat Inverse FInance die Kreditaufnahme für alle Vermögenswerte auf der Frontier-Plattform pausiert, erwartet aber, dass die Kreditaufnahme für Vermögenswerte mit reinen Chainlink-Feeds sowie für INV in Kürze wieder aufgenommen wird.
