Inverse Finance zei dat een orakel prijsmanipulatie exploit een hacker in staat stelde om ongeveer $ 1,3 miljoen te stelen, wat resulteerde in een verlies van $ 5,8 miljoen voor het protocol.
Inverse Finance kreeg op 16 juni opnieuw te maken met een aanval, waarbij een oracle price manipulation exploit een hacker in staat stelde om ongeveer $ 1,3 miljoen te stelen, wat resulteerde in een verlies van $ 5,8 miljoen voor het protocol.
Blockchain beveiligingsbedrijf PeckShield onthulde de details van het incident in een reeks tweets.
4/ Het initiële fonds (1 ETH) om de hack te starten is teruggetrokken van @TornadoCash Momenteel blijven 68 ETHs van de illegale winsten nog steeds op de rekening van de hacker https://t.co/lEA5jmsGXZ.. en 1000 ETHs zijn gestort op @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc. (@peckshield) Juni 16, 2022
Met deze recente aanval is het de tweede aanval op het DeFi protocol in twee maanden tijd. Eerder in april werd Inverse Finance getroffen door een aanval die leidde tot het verlies van $15,6 miljoen.
The exploit
Een uitgebreid verslag van de aanval werd later gepubliceerd op de website van Inverse Finance.
Het rapport legt uit dat de exploit gebeurde op de yvcrv3crypto-markt, die Chainlink-prijsgegevens gebruikte in plaats van de interne wisselkoers van het Curve-protocol.
Inverse Finance zei dat de prijsdiscrepantie de hacker in staat stelde om een flitslening van 27.000 Wrapped Bitcoin (wBTC) te nemen – een aangepaste versie van Bitcoin, die gelijk is in prijs, maar kan worden gebruikt op het Ethereum (ETH) netwerk.
De aanvaller verhandelde vervolgens de wBTC in de tricrypto pool, wat leidde tot een stijging van de prijs van het yvcrv3crypto LP token op het price oracle en waardoor de hacker DOLA – de stablecoin van Inverse FInance – kon lenen tegen dat onderpand op het Frontier platform van Inverse FInance.
PeckShield, met behulp van Etherscan-gegevens, zei in een tweet dat 68 ETH van het gestolen bedrag nog steeds bij de hacker is en 1.000 ETH zijn gestort op Tornado Cash, een cryptocurrency-mixer die verschillende stromen van potentieel identificeerbare cryptocurrency mengt om de anonimiteit te vergroten en transacties moeilijker te traceren te maken.
‘Inverse FInance’ zei dat geen door gebruikers gedeponeerd onderpand werd beïnvloed door de hack, maar merkte op dat de Frontier Fed, Inverse Finance DAO $ 5,8 miljoen aan slechte DOLA-schuld opliep. Dit is in aanvulling op de ruwweg $3,8 miljoen DOLA schuld opgelopen in de april hack.
Het DeFi protocol voegde eraan toe dat, aangezien geen individuele gebruikers direct werden beïnvloed door het incident, er geen wijzigingen nodig zijn aan zijn goedmakingsplan voor de gebruikers die werden beïnvloed door het incident van april.
Inverse Finance belooft een reeks acties
Inverse FInance heeft een reeks veiligheidsmaatregelen gedetailleerd, waaronder plannen om de fondsen terug te vorderen en te zorgen voor extra veiligheid op het DeFi-platform.
Dit omvatte een open oproep aan de hacker om de fondsen terug te geven voor “een genereuze premie.” Daarnaast beloofde de DAO om gegevens van de aanval beschikbaar te stellen aan iedereen die bereid is om te helpen bij het terughalen van de fondsen tegen een beloning.
Inverse FInance verklaarde dat het de diensten van RiskDAO, een team van beveiligingsexperts, heeft verworven om de aanval te onderzoeken en is ook bezig met het inhuren van extra beveiligingsoperaties personeel.
Tot slot heeft Inverse FInance het lenen op alle activa op het Frontier-platform gepauzeerd, maar verwacht dat het lenen op activa met Chainlink-only feeds en INV binnenkort zal worden hervat.
