Inverse Finance dijo que un exploit de manipulación del precio del oráculo permitió a un hacker robar unos 1,3 millones de dólares, lo que provocó una pérdida de 5,8 millones de dólares para el protocolo.
Inverse Finance sufrió el 16 de junio otro ataque, con un exploit de manipulación de precios de oráculo que permitió a un hacker robar alrededor de 1,3 millones de dólares y que resultó en una pérdida de 5,8 millones de dólares para el protocolo.
La empresa de seguridad Blockchain PeckShield reveló los detalles del incidente en una serie de tweets.
4/ El fondo inicial (1 ETH) para lanzar el hackeo se retira de @TornadoCash Actualmente 68 ETHs de las ganancias ilícitas aún permanecen en la cuenta del hacker https://t.co/lEA5jmsGXZ.. y 1000 ETHs han sido depositados en @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) June 16, 2022
Este reciente ataque es el segundo que sufre el protocolo DeFi en el espacio de dos meses. A principios de abril, Inverse Finance sufrió un ataque que le hizo perder 15,6 millones de dólares.
El exploit
Un informe completo del ataque se publicó posteriormente en el sitio web de Inverse Finance.
El informe explica que el exploit se produjo en el mercado de criptomonedas yvcrv3, que utilizaba los datos de precios de Chainlink en lugar del tipo de cambio interno del protocolo Curve.
Inverse Finance dijo que la discrepancia de precios permitió al hacker tomar un préstamo flash de 27.000 Wrapped Bitcoin (wBTC) – una versión modificada de Bitcoin, que es igual en precio, pero se puede utilizar en la red Ethereum (ETH).
A continuación, el atacante negoció el wBTC en el pool de tricriptomonedas, lo que provocó una subida del precio del token yvcrv3crypto LP en el oráculo de precios y permitió al hacker pedir un préstamo de DOLA -la stablecoin de Inverse FInance- contra esa garantía en la plataforma Frontier de Inverse FInance.
PeckShield, utilizando los datos de Etherscan, dijo en un tweet que 68 ETH de la cantidad robada todavía está con el hacker y 1.000 ETH han sido depositados en Tornado Cash, un mezclador de criptodivisas que mezcla diferentes flujos de criptodivisas potencialmente identificables para aumentar el anonimato y hacer que las transacciones sean más difíciles de rastrear.
Inverse FInance’ dijo que ninguna garantía depositada por los usuarios se vio afectada por el hackeo, pero señaló que el DAO de Frontier Fed, Inverse Finance incurrió en 5,8 millones de dólares en deuda mala de DOLA. Esto se suma a los aproximadamente 3,8 millones de dólares de deuda DOLA incurridos en el hackeo de abril.
El protocolo de DeFi añadió que, dado que ningún usuario individual se vio directamente afectado por el incidente, no se requieren cambios en su plan de compensación para los usuarios afectados por el incidente de abril.
Finanzas Inversas promete una serie de acciones
Inverse FInance detalló una serie de medidas de seguridad, que incluyen planes para recuperar los fondos y garantizar una mayor seguridad en la plataforma DeFi.
Esto incluyó un llamamiento abierto al hacker para que devuelva los fondos por «una generosa recompensa». Además, el DAO prometió poner los datos del ataque a disposición de cualquiera que esté dispuesto a ayudar en la recuperación de los fondos a cambio de una recompensa.
Inverse FInance declaró que adquirió los servicios de RiskDAO, un equipo de expertos en seguridad, para investigar el ataque y también está contratando personal adicional de operaciones de seguridad.
Por último, Inverse FInance ha suspendido los préstamos sobre todos los activos de la plataforma Frontier, pero espera que se reanuden en breve los préstamos sobre los activos con alimentación Chainlink-only, así como sobre INV.
