Inverse Finance a subi une nouvelle attaque, un exploit de manipulation du prix de l’oracle ayant permis à un pirate informatique de voler environ 1,3 million de dollars, entraînant une perte de 5,8 millions de dollars pour le protocole.
Inverse Finance a subi le 16 juin une nouvelle attaque, avec un exploit de manipulation de prix d’oracle permettant à un pirate de voler environ 1,3 million de dollars et entraînant une perte de 5,8 millions de dollars pour le protocole.
La société de sécurité blockchain PeckShield a révélé les détails de l’incident dans une série de tweets.
4/ Le fonds initial (1 ETH) pour lancer le hack est retiré de @TornadoCash Actuellement, 68 ETHs des gains illicites restent sur le compte du hacker https://t.co/lEA5jmsGXZ.. et 1000 ETHs ont été déposés sur @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) June 16, 2022
Cette récente attaque est la deuxième attaque contre le protocole DeFi en l’espace de deux mois. Plus tôt en avril, Inverse Finance a subi une attaque qui a conduit à la perte de 15,6 millions de dollars.
L’exploit
Un rapport détaillé de l’attaque a ensuite été publié sur le site Web d’Inverse Finance.
Le rapport explique que l’exploit s’est produit sur le marché yvcrv3crypto, qui utilisait les données de prix de Chainlink au lieu du taux de change interne du protocole Curve.
Selon Inverse Finance, l’écart de prix a permis au pirate de contracter un prêt éclair de 27 000 Wrapped Bitcoin (wBTC) – une version modifiée du bitcoin, dont le prix est égal, mais qui peut être utilisée sur le réseau Ethereum (ETH).
L’attaquant a ensuite échangé les wBTC dans le pool tricrypto, ce qui a entraîné une flambée du prix du jeton yvcrv3crypto LP sur l’oracle des prix et permis au pirate d’emprunter DOLA – le stablecoin d’Inverse FInance – contre cette garantie sur la plateforme Frontier d’Inverse FInance.
PeckShield, utilisant les données d’Etherscan, a déclaré dans un tweet que 68 ETH du montant volé sont toujours avec le pirate et que 1 000 ETH ont été déposés sur Tornado Cash, un mélangeur de crypto-monnaies qui mélange différents flux de crypto-monnaies potentiellement identifiables pour augmenter l’anonymat et rendre les transactions plus difficiles à tracer.
Inverse FInance’ a déclaré qu’aucune garantie déposée par les utilisateurs n’a été affectée par le piratage, mais a noté que la DAO Frontier Fed, Inverse Finance a encouru 5,8 millions de dollars de créances douteuses DOLA. Cela s’ajoute à la dette DOLA d’environ 3,8 millions de dollars contractée lors du piratage d’avril.
Le protocole DeFi a ajouté qu’étant donné qu’aucun utilisateur individuel n’a été directement touché par l’incident, aucun changement n’est nécessaire dans son plan de réparation pour les utilisateurs touchés par l’incident d’avril.
Inverse Finance promet une série d’actions
Inverse FInance a détaillé une série de mesures de sécurité, qui comprennent des plans pour récupérer les fonds et assurer une sécurité supplémentaire sur la plateforme DeFi.
Cela comprenait un appel ouvert au pirate pour qu’il rende les fonds contre « une généreuse prime ». En outre, la DAO a promis de mettre les données de l’attaque à la disposition de toute personne prête à aider à la récupération des fonds contre une récompense.
Inverse FInance a déclaré qu’elle a acquis les services de RiskDAO, une équipe d’experts en sécurité, pour examiner l’attaque et qu’elle embauche également du personnel supplémentaire pour les opérations de sécurité.
Enfin, Inverse FInance a interrompu les emprunts sur tous les actifs de la plateforme Frontier, mais s’attend à ce que les emprunts sur les actifs avec des flux Chainlink uniquement ainsi que sur INV reprennent sous peu.
