Inverse Finance ha dichiarato che un exploit di manipolazione del prezzo dell’oracolo ha permesso a un hacker di rubare circa 1,3 milioni di dollari, causando una perdita di 5,8 milioni di dollari per il protocollo.
Inverse Finance il 16 giugno ha subito un altro attacco, con un exploit di manipolazione dei prezzi di oracle che ha permesso a un hacker di rubare circa 1,3 milioni di dollari, con una conseguente perdita di 5,8 milioni di dollari per il protocollo.
La società di sicurezza blockchain PeckShield ha rivelato i dettagli dell’incidente in una serie di tweet.
4/ Il fondo iniziale (1 ETH) per lanciare l’hack è stato ritirato da @TornadoCash Attualmente 68 ETH dei guadagni illeciti rimangono ancora nel conto dell’hacker https://t.co/lEA5jmsGXZ.. e 1000 ETH sono stati depositati su @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) June 16, 2022
Questo recente attacco è il secondo attacco al protocollo DeFi nel giro di due mesi. All’inizio di aprile, Inverse Finance ha subito un attacco che ha portato alla perdita di 15,6 milioni di dollari.
L’exploit
Un rapporto completo dell’attacco è stato successivamente pubblicato sul sito web di Inverse Finance.
Il rapporto spiega che l’exploit è avvenuto sul mercato yvcrv3crypto, che ha utilizzato i dati di prezzo di Chainlink invece del tasso di cambio interno del protocollo Curve.
Secondo Inverse Finance, la discrepanza di prezzo ha permesso all’hacker di ottenere un prestito lampo di 27.000 Wrapped Bitcoin (wBTC) – una versione modificata del Bitcoin, che ha lo stesso prezzo, ma può essere utilizzata sulla rete Ethereum (ETH).
L’aggressore ha poi scambiato i wBTC nel pool tricrypto, provocando un’impennata del prezzo del token yvcrv3crypto LP sul price oracle e consentendo all’hacker di prendere in prestito DOLA – la stablecoin di Inverse FInance – a fronte di tale garanzia sulla piattaforma Frontier di Inverse FInance.
PeckShield, utilizzando i dati di Etherscan, ha dichiarato in un tweet che 68 ETH della somma rubata sono ancora presso l’hacker e 1.000 ETH sono stati depositati su Tornado Cash, un mixer di criptovalute che mescola diversi flussi di criptovalute potenzialmente identificabili per aumentare l’anonimato e rendere le transazioni più difficili da rintracciare.
Inverse FInance” ha dichiarato che nessun collaterale depositato dagli utenti è stato colpito dall’hack, ma ha notato che la Frontier Fed, Inverse Finance DAO ha subito 5,8 milioni di dollari di debiti DOLA inesigibili. Questo si aggiunge ai circa 3,8 milioni di dollari di debiti DOLA contratti durante l’hack di aprile.
Il protocollo DeFi ha aggiunto che, poiché nessun singolo utente è stato direttamente colpito dall’incidente, non sono necessarie modifiche al suo piano di compensazione per gli utenti colpiti dall’incidente di aprile.
Inverse Finance promette una serie di azioni
Inverse FInance ha dettagliato una serie di misure di sicurezza, che includono piani per recuperare i fondi e garantire una maggiore sicurezza sulla piattaforma DeFi.
Questo includeva un appello aperto all’hacker per restituire i fondi in cambio di “una generosa ricompensa”. Inoltre, la DAO ha promesso di rendere disponibili i dati dell’attacco a chiunque sia disposto a contribuire al recupero dei fondi in cambio di una ricompensa.
Inverse FInance ha dichiarato di aver acquisito i servizi di RiskDAO, un team di esperti di sicurezza, per indagare sull’attacco e sta assumendo altro personale per le operazioni di sicurezza.
Infine, Inverse FInance ha sospeso i prestiti su tutti gli asset della piattaforma Frontier, ma si aspetta che i prestiti su asset con feed solo Chainlink e INV riprendano a breve.
