Inverse Finance oggi è stato prosciugato da un attaccante che ha fatto fuori 15 milioni di dollari in criptovalute prima di lavarle attraverso Tornado Cash.
Inverse Finance è l’ultima vittima di un exploit DeFi che ha portato alla perdita di oltre 15 milioni di dollari, ha rivelato Peckshield questo fine settimana. L’azienda di sicurezza blockchain ha rilasciato un tweet che afferma semplicemente: “Ciao, @InverseFinance, potresti voler dare un’occhiata”, collegato a una transazione su Etherscan.
Lavando cripto attraverso Tornado Cash
Nelle ultime ore, l’exploiter ha inviato centinaia di transazioni Ethereum a Tornado Cash. Tornado Cash è uno strumento standard tra gli hacker e gli sfruttatori per tentare di offuscare la loro storia delle transazioni. Descrivono il loro servizio come uno strumento che “migliora la privacy delle transazioni rompendo il collegamento on-chain tra gli indirizzi di origine e di destinazione. Utilizza un contratto intelligente che accetta depositi di ETH che un indirizzo diverso può ritirare”.
Gli utenti generano una chiave casuale e depositano ETH insieme alla nota. L’utente poi fornisce la prova della chiave della nota da un altro portafoglio per ritirare l’ETH, rompendo così la catena delle transazioni che “solo l’utente che possiede la nota può collegare il deposito e il ritiro”.
L’exploit ha coinvolto un oracolo TWAP che richiede la manipolazione del prezzo di un token di governance di un progetto DeFi con bassa liquidità. TWAP sta per Time Weighted Average Price e “è costruito leggendo il prezzo cumulativo di una coppia di token ERC20 all’inizio e alla fine dell’intervallo desiderato. La differenza di questo prezzo cumulativo può quindi essere divisa per la lunghezza dell’intervallo per creare un TWAP per quel periodo”. Una spiegazione dettagliata dell’exploit è disponibile tramite un thread creato dall’ambasciatore della comunità Chainlink, ChainLinkGod.
Un altro giorno, un’altra manipolazione dell’oracolo TWAP
Note:
1. Il campione di tempo TWAP era troppo corto
2. Liquidità DEX significativamente più sottile della liquidità CEX
3. Opportunità di arb on-chain rimosse dall’attaccante
4. CEX-DEX arb non si è verificato
5. Il prezzo a livello di mercato non è stato influenzato come il prezzo DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
La risposta inversa della finanza
Inverse Finance ha preso a Twitter Spaces questa sera per parlare degli eventi dell’exploit. In esso, spiegano come tutte le decisioni passano attraverso la governance on-chain del DAO. Ci si chiede quindi se questo permetta un processo decisionale veloce durante crisi come questa. Il team è apparso estremamente calmo e raccolto durante lo spazio Twitter, descrivendo la manipolazione dell’oracolo in modo molto concreto. Danno la colpa all'”inefficienza dell’arbitraggio”, dato che l’sfruttatore ha usato 500.000 dollari di garanzia per rubare 15 milioni di dollari in pochi minuti.
Il DAO ha ora attivato la regola Guardian su Anchor per prevenire futuri prestiti attraverso il protocollo utilizzato durante l’exploit. Questo ha lo scopo di “mitigare qualsiasi attacco futuro dello stesso tipo”. Spiegano poi come la loro “protezione dei peg” permette loro di ripristinare rapidamente i peg di mercato e gli incentivi, che hanno usato in seguito all’exploit. Lo spazio Twitter continua per altri 30 minuti, spiegando altre caratteristiche di Inverse Finance in un appello per ripristinare la fiducia nel progetto.
Gli exploit non sono hacking.
Quello che è importante notare qui è che la persona responsabile di questa azione non è un hacker, come alcuni potrebbero riportare. Molti articoli attualmente chiedono: “Se DeFi è così grande, perché continua ad essere violato?” La risposta è che la maggior parte degli exploit non sono hacking. Nessun codice o permesso di sicurezza è stato violato durante quest’ultimo incidente. Invece, un individuo ha approfittato di una svista degli sviluppatori.
DeFi coinvolge molte parti mobili, che hanno meno di cinque anni. L’eccitazione per tali progetti è abbastanza alta che gli investitori sono disposti a depositare fondi in progetti non provati nella speranza di godere di guadagni fuori misura.
Il token di governance di Inverse Finance, INV, di solito ha un volume medio giornaliero di circa 900.000 dollari con un market cap di 31 milioni di dollari. Il volume è aumentato del 5000% oggi a causa dell’exploit, e il TVL del progetto è attualmente riportato a circa 27 milioni di dollari. Questi numeri sembrano bassi per il mondo delle crypto ma, in realtà, sono importi che cambierebbero la vita alla maggior parte delle persone in tutto il mondo. Ci sono voluti 500.000 dollari per eseguire l’exploit, che ha portato ad un aumento del 2.900% per l'”attaccante”.
Lavando il denaro attraverso Tornado Cash, l’argomento a favore della DeFi che tutte le transazioni sono tracciabili diventa molto più debole. L’unico modo, a mio parere, è quello di seguire il denaro. Lo sfruttatore ha inviato ETH in tagli da 100, 10 e 1. Quindi, in questo caso, seguirlo richiederebbe di tracciare ogni prelievo di quelle somme da Tornado Cash nel prossimo futuro. Un compito che non è fattibile. Anche se questo fosse possibile, non hanno fatto nulla di illegale. Contro le condizioni d’uso? Molto probabilmente. Discutibilmente etico? Certamente, ma, come sappiamo, la regolamentazione della DeFi è un’area in evoluzione, e questo incidente è stato causato da qualcuno che ha fatto scambi completamente legali su una blockchain pubblica.
La DeFi è un lavoro in corso. Evidenzia un crescente bisogno di pratiche migliori e di maggiori test nello sviluppo del web3. Speriamo che la fiducia del pubblico non sia rovinata dai rapporti quasi quotidiani degli exploit di DeFi.
