Inverse Finance poinformował, że exploit polegający na manipulacji ceną oracle pozwolił hakerowi ukraść około 1,3 mln dolarów, co spowodowało stratę 5,8 mln dolarów dla protokołu.
Inverse Finance 16 czerwca doznał kolejnego ataku – exploit do manipulacji cenami oracle pozwolił hakerowi na kradzież około 1,3 miliona dolarów i spowodował stratę 5,8 miliona dolarów dla protokołu.
Firma PeckShield zajmująca się bezpieczeństwem blockchain ujawniła szczegóły incydentu w serii tweetów.
4/ Początkowy fundusz (1 ETH) do uruchomienia hacka został wycofany z @TornadoCash Obecnie 68 ETH z nielegalnych zysków nadal pozostaje na koncie hakera https://t.co/lEA5jmsGXZ.., a 1000 ETH zostało zdeponowane na @TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield Inc (@peckshield) June 16, 2022
Ten ostatni atak sprawia, że jest to drugi atak na protokół DeFi w przeciągu dwóch miesięcy. Wcześniej w kwietniu Inverse Finance doznał ataku, który doprowadził do utraty 15,6 mln dolarów.
The exploit
Obszerny raport z ataku został później opublikowany na stronie Inverse Finance.
Raport wyjaśnia, że exploit miał miejsce na rynku yvcrv3crypto, który używał danych cenowych Chainlink zamiast wewnętrznego kursu wymiany protokołu Curve.
Inverse Finance powiedział, że rozbieżność cen pozwoliła hakerowi wziąć błyskawiczną pożyczkę w wysokości 27 000 Wrapped Bitcoin (wBTC) – zmodyfikowanej wersji Bitcoina, która jest równa w cenie, ale może być używana w sieci Ethereum (ETH).
Atakujący następnie przehandlował wBTC do puli tricrypto, co doprowadziło do skoku ceny tokenu yvcrv3crypto LP na wyroczni cenowej i pozwoliło hakerowi pożyczyć DOLA – stablecoin Inverse FInance – przeciwko temu zabezpieczeniu na platformie Frontier firmy Inverse FInance.
PeckShield, korzystając z danych Etherscan, powiedział w tweecie, że 68 ETH ze skradzionej kwoty jest nadal u hakera, a 1000 ETH zostało zdeponowane w Tornado Cash, mieszaczu kryptowalut, który miesza różne strumienie potencjalnie identyfikowalnej kryptowaluty, aby zwiększyć anonimowość i utrudnić śledzenie transakcji.
’Inverse FInance’ powiedział, że żadne zabezpieczenie zdeponowane przez użytkowników nie zostało dotknięte przez hack, ale zauważył, że Frontier Fed, Inverse Finance DAO poniósł 5,8 miliona dolarów w złym długu DOLA. Jest to dodatek do około 3,8 miliona dolarów długu DOLA poniesionego w kwietniowym hacku.
Protokół DeFi dodał, że ponieważ żaden z indywidualnych użytkowników nie został bezpośrednio dotknięty incydentem, nie są wymagane żadne zmiany w jego planie make-good dla użytkowników dotkniętych kwietniowym incydentem.
Inverse Finance obiecuje szereg działań
Inverse FInance wyszczególnił szereg działań zabezpieczających, które obejmują plany odzyskania środków i zapewnienia dodatkowego bezpieczeństwa na platformie DeFi.
Obejmowało to otwarty apel do hakera o zwrot środków za „hojne bounty”. Ponadto DAO obiecało udostępnić dane o ataku każdemu, kto jest skłonny pomóc w odzyskaniu środków za nagrodę.
Inverse FInance stwierdził, że nabył usługi RiskDAO, zespołu ekspertów ds. bezpieczeństwa, aby przyjrzeć się atakowi, a także zatrudnia dodatkowy personel operacyjny ds. bezpieczeństwa.
Wreszcie, Inverse FInance wstrzymał pożyczanie na wszystkich aktywach na platformie Frontier, ale spodziewa się, że pożyczanie na aktywach z zasilaniem tylko Chainlink, jak również INV zostanie wznowione wkrótce.
