El equipo de Deus ha declarado que el último ataque no supuso la pérdida de los fondos de ninguno de sus usuarios.
Deus Finance DAO ha sufrido otro exploit y ha perdido ETH por valor de 13,4 millones de dólares a manos de un hacker, menos de un mes después de haber sido hackeado en un ataque similar de préstamos flash por unos 3 millones de dólares.
Deus DAO perdió más de 16 millones de dólares por los dos ataques
La empresa de seguridad de cadenas de bloques PeckShield fue la primera en informar sobre el exploit afirmando que, aunque el hacker ganó alrededor de 13,4 millones de dólares, el protocolo podría haber perdido más.
El @DeusDao fue explotado hoy en https://t.co/USKNHhXeid con una ganancia de ~13,4 millones de dólares para el hacker (La pérdida del protocolo puede ser mayor).
– PeckShield Inc. (@peckshield) April 28, 2022
Según PeckShield, el hacker utilizó un préstamo flash para manipular el oráculo de precios e inflar el valor de DEI. A continuación, el hacker utilizó el DEI inflado como garantía para pedir un préstamo y vaciar el protocolo. El exploit de marzo se logró utilizando el mismo método.
1/ @deusdao Deus Finance fue explotado en https://t.co/bfYCQcz5rZ, llevando a la ganancia de ~$3M para el hacker (La pérdida del protocolo puede ser mayor), incluyendo 200,000 DAI y 1101.8 ETH
– PeckShield Inc. (@peckshield) March 15, 2022
El hacker retiró inicialmente 800 ETH de Tornado Cash para imitar el exploit, enviando los fondos a través de Multichain a Fantom. Después de robar los fondos, el hacker pagó el préstamo flash y envió las ganancias a su cartera.
Ahora parece que el hacker ha movido la mayor parte de las ganancias de la cartera, ya que sólo 0,85 ETH estaban en la cartera al cierre de esta edición.
Respuesta del equipo de Deus
En su respuesta inicial, Deus Finance DAO ha llamado a la calma tras revelar que su equipo estaba trabajando en ello. El protocolo afirmó que todos los fondos de los usuarios estaban a salvo y que ningún usuario fue liquidado debido al exploit.
La plataforma de derivados descentralizados multicadena también declaró que la clavija $DEI está restaurada y que proporcionará más actualizaciones pronto.
El equipo de desarrollo está trabajando en la situación de DEI.
1. Los fondos de los usuarios están a salvo. Ningún usuario fue liquidado.
2. Los préstamos de DEI se han detenido temporalmente.
3. 3. Se ha restablecido el vínculo $DEIMás detalles a continuación.
– DEUS Finance DAO (@DeusDao) April 28, 2022
Su fundador, el seudónimo lafachief, no está de acuerdo con la forma en que PeckShield describió el exploit.
Esto no es exactamente lo que pasó, voy a preparar algo. https://t.co/7zwuPNdkly
– µ Lafa µ (@lafachief) 28 de abril de 2022
Agregó que el protocolo utiliza «Oráculos de Muon no onchain», y el hacker «fue capaz de manipular los precios VWAP de Muon». Continuó diciendo que el atacante «básicamente «fingió» el intercambio de ~2M USDC a 100k DEI» y «manipuló el precio VWAP de Muon con ello».
Esto es lo que sé hasta ahora:
El atacante utilizó este tx para manipular el precio de Muon:https://t.co/G4hFwIjkBy
Muon está comprobando los SWAPS dentro de solidly pool, estábamos trabajando en cambiar eso junto con muon para añadir más fuentes y filtrar las transacciones…
– µ Lafa µ (@lafachief) April 28, 2022
Lossless DeFi, una herramienta de mitigación de hackeos de criptomonedas, también se ofreció a ayudar a Deus a atrapar al hacker si estaba dispuesto a cooperar.
Hey @DeusDao Nuestro equipo ha investigado esto y creemos que podemos atrapar al culpable contigo. Te he enviado un DM si quieres que trabajemos juntos.
– Lossless (@losslessdefi) April 28, 2022
Sin embargo, algunos usuarios están preocupados por la seguridad de la plataforma, teniendo en cuenta que el mismo exploit ha ocurrido dos veces en menos de un mes.