Il team di Deus ha dichiarato che l’ultimo attacco non ha portato alla perdita dei fondi dei suoi utenti.
Deus Finance DAO ha subito un altro exploit e ha perso 13,4 milioni di dollari di ETH a favore di un hacker, meno di un mese dopo essere stato violato in un attacco simile di flash loan per circa 3 milioni di dollari.
Deus DAO ha perso oltre 16 milioni di dollari a causa dei due attacchi
La società di sicurezza della blockchain PeckShield ha segnalato per prima l’exploit sostenendo che, sebbene l’hacker abbia guadagnato circa 13,4 milioni di dollari, il protocollo potrebbe aver perso di più.
L’exploit @DeusDao è stato sfruttato oggi in https://t.co/USKNHhXeid con un guadagno di circa 13,4 milioni di dollari per l’hacker (la perdita del protocollo potrebbe essere maggiore).
– PeckShield Inc. (@peckshield) 28 aprile 2022
Secondo PeckShield, l’hacker ha utilizzato un prestito lampo per manipolare l’oracolo dei prezzi e gonfiare il valore di DEI. Poi l’hacker ha usato il DEI gonfiato come garanzia per prendere in prestito e prosciugare il protocollo. L’exploit di marzo è stato realizzato con lo stesso metodo.
1/ @deusdao Deus Finance è stato sfruttato in https://t.co/bfYCQcz5rZ, portando a un guadagno di circa 3 milioni di dollari per l’hacker (la perdita del protocollo potrebbe essere maggiore), compresi 200.000 DAI e 1101,8 ETH
– PeckShield Inc. (@peckshield) 15 marzo 2022
L’hacker ha inizialmente prelevato 800 ETH da Tornado Cash per imitare l’exploit, inviando i fondi attraverso Multichain a Fantom. Dopo aver rubato i fondi, l’hacker ha pagato il prestito flash e ha inviato i proventi al suo portafoglio.
Ora sembra che l’hacker abbia spostato la maggior parte dei proventi dal portafoglio, dato che al momento della stampa erano presenti solo 0,85 ETH nel portafoglio.
Risposta del team Deus
Nella sua risposta iniziale, Deus Finance DAO ha invitato alla calma dopo aver rivelato che il suo team ci stava lavorando. Il protocollo ha affermato che tutti i fondi degli utenti sono al sicuro e che nessun utente è stato liquidato a causa dell’exploit.
La piattaforma di derivati decentralizzati multichain ha anche dichiarato che il peg $DEI è stato ripristinato e che fornirà presto ulteriori aggiornamenti.
Il team di sviluppo sta lavorando sulla situazione DEI.
1. I fondi degli utenti sono al sicuro. Nessun utente è stato liquidato.
2. I prestiti DEI sono stati temporaneamente sospesi.
3. Il peg $DEI è stato ripristinato.Seguiranno ulteriori dettagli.
– DEUS Finance DAO (@DeusDao) 28aprile 2022
Il suo fondatore, lo pseudonimo lafachief, non era d’accordo con il modo in cui PeckShield aveva descritto l’exploit.
Questo non è esattamente quello che è successo, preparerò qualcosa. https://t.co/7zwuPNdkly
– µ Lafa µ (@lafachief) April 28, 2022
Ha aggiunto che il protocollo utilizza “Muon Oracles non onchain” e l’hacker “è stato in grado di manipolare i prezzi VWAP di Muon”. Ha proseguito affermando che l’aggressore “ha sostanzialmente “simulato” uno scambio di ~2M USDC con 100k DEI” e “ha manipolato il prezzo VWAP di Muon”.
Questo è ciò che so finora:
L’aggressore ha usato questo tx per manipolare il prezzo di Muon:https://t.co/G4hFwIjkBy
Muon controlla gli SWAP all’interno del pool solidly, stavamo lavorando per cambiarlo insieme a muon per aggiungere altre fonti e filtrare le transazioni…
– µ Lafa µ (@lafachief) 28aprile 2022
Lossless DeFi, uno strumento di mitigazione degli hack crittografici, si è anche offerto di aiutare Deus a catturare l’hacker se fosse disposto a collaborare.
Ehi @DeusDao Il nostro team ha esaminato il problema e crediamo di poter individuare il colpevole insieme a te. Ti mando un DM se vuoi lavorare insieme.
– Lossless (@losslessdefi) April 28, 2022
Tuttavia, alcuni utenti sono preoccupati per la sicurezza della piattaforma, considerando che lo stesso exploit si è verificato due volte in meno di un mese.