Inverse Finance werd vandaag leeggezogen toen een aanvaller er vandoor ging met $15 miljoen aan crypto voordat hij het waste via Tornado Cash.
Inverse Finance is het nieuwste slachtoffer van een DeFi exploit die resulteerde in het verlies van meer dan $15 miljoen, onthulde Peckshield dit weekend. Het blockchain beveiligingsbedrijf bracht een tweet uit waarin simpelweg stond: “Hoi, @InverseFinance, je wilt misschien even kijken,” gelinkt aan een transactie op Etherscan.
Wassen crypto door Tornado Cash
Over de afgelopen uren heeft de exploiter honderden Ethereum-transacties naar Tornado Cash gestuurd. Tornado Cash is een standaard tool onder hackers en exploiters om te proberen hun transactie geschiedenis te verdoezelen. Ze beschrijven hun service als een tool die “de privacy van transacties verbetert door de on-chain link tussen bron- en bestemmingsadressen te verbreken. Het gebruikt een slim contract dat ETH-stortingen accepteert die een ander adres kan opnemen.”
Gebruikers genereren een willekeurige sleutel en storten ETH samen met het biljet. De gebruiker levert dan een bewijs van de sleutel van het biljet van een andere portemonnee om de ETH op te nemen, en verbreekt zo de transactieketen dat “enkel de gebruiker die het biljet bezit storting en opname kan linken.”
De exploit betrof een TWAP orakel waarbij de prijs van een governance token van een DeFi project met lage liquiditeit gemanipuleerd moet worden. TWAP staat voor Time Weighted Average Price en “wordt geconstrueerd door de cumulatieve prijs van een ERC20-token-paar te lezen aan het begin en het einde van het gewenste interval. Het verschil in deze cumulatieve prijs kan dan gedeeld worden door de lengte van het interval om een TWAP voor die periode te creëren.” Een gedetailleerde uitleg van de exploit is beschikbaar via een thread gemaakt door Chainlink community ambassadeur, ChainLinkGod.
Another day, another TWAP oracle manipulation
Notities:
1. TWAP tijd sample was te kort
2. DEX liquiditeit aanzienlijk dunner dan CEX liquiditeit
3. On-chain arb mogelijkheden verwijderd door aanvaller
4. CEX-DEX arb heeft niet plaatsgevonden
5. Marktbrede prijs niet zo beïnvloed als DEX prijsstelling https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
The Inverse Finance response
Inverse Finance heeft zich vanavond op Twitter Spaces uitgelaten over de gebeurtenissen van de exploit. Daarin leggen ze uit hoe alle beslissingen via de on-chain governance van de DAO gaan. De vraag wordt dus gesteld of dit snelle besluitvorming tijdens crises als deze mogelijk maakt. Het team leek uiterst kalm en beheerst tijdens de Twitter Space, en beschreef de orakelmanipulatie zeer nuchter. Ze geven de schuld aan ‘arbitrage-inefficiëntie’ omdat de uitbuiter $500.000 aan onderpand gebruikte om $15 miljoen te stelen in enkele minuten.
De DAO heeft nu de Guardian regel op Anchor geactiveerd om toekomstige ontleningen te voorkomen via het protocol dat tijdens de exploit werd gebruikt. Dit is bedoeld om “eventuele toekomstige aanvallen van dezelfde soort te beperken.” Ze leggen vervolgens uit hoe hun “peg protection” hen in staat stelt om snel de marktpinnen en stimulansen te herstellen, die ze gebruikten in de nasleep van de exploit. De Twitter Space gaat nog 30 minuten door, met uitleg over andere kenmerken van Inverse Finance in een oproep om het vertrouwen in het project te herstellen.
Exploits zijn geen hacks.
Wat belangrijk is om hier op te merken is dat de persoon die verantwoordelijk is voor deze actie geen hacker is, zoals sommigen misschien melden. Veel artikelen vragen momenteel: “Als DeFi zo geweldig is, waarom wordt het dan steeds gehackt?” Het antwoord is dat de meeste exploits geen hacks zijn. Tijdens dit laatste incident werden geen code of beveiligingstoestemmingen gekraakt. In plaats daarvan maakte een individu gebruik van een onoplettendheid van de ontwikkelaars.
DeFi bevat veel bewegende delen, die minder dan vijf jaar oud zijn. De opwinding voor dergelijke projecten is hoog genoeg dat investeerders bereid zijn om fondsen te storten in onbewezen projecten in de hoop te genieten van buitenmaatse winsten.
Het bestuurstoken van Inverse Finance, INV, heeft gewoonlijk een dagelijks gemiddeld volume van ongeveer $900.000 met een market cap van $31 miljoen. Het volume is vandaag 5000% gestegen als gevolg van de exploit, en de TVL van het project wordt momenteel gerapporteerd op ongeveer $27 miljoen. Deze aantallen lijken laag voor de wereld van crypto, maar zijn in werkelijkheid bedragen die voor de meeste mensen over de hele wereld levensveranderend zouden zijn. Er was 500.000 dollar nodig om de exploit uit te voeren, wat resulteerde in een stijging van 2.900% voor de ‘aanvaller’.
Door het geld via Tornado Cash te wassen, wordt het argument in het voordeel van DeFi dat alle transacties traceerbaar zijn veel zwakker. De enige manier, die ik kan zien, is het geld te volgen. De uitbuiter stuurde ETH in 100, 10, en 1 denominatie. Dus, in dit geval, zou het traceren elke opname van die bedragen van Tornado Cash over de afzienbare toekomst vereisen. Een taak die niet haalbaar is. Zelfs als dit haalbaar zou zijn, hebben ze niets illegaals gedaan. Tegen de gebruiksvoorwaarden? Zeer waarschijnlijk. Bedenkelijk ethisch? Zeker, maar, zoals we weten, DeFi regelgeving is een evoluerend gebied, en dit incident kwam tot stand door iemand die volledig legale transacties deed op een publieke blockchain.
DeFi is een werk in uitvoering. Het benadrukt een groeiende behoefte aan betere praktijken en meer testen in web3 ontwikkeling. We hopen dat het vertrouwen van het publiek niet wordt geschaad door de bijna dagelijkse meldingen van DeFi exploits.
