Inverse Finance zostało dziś zdrenowane, ponieważ atakujący zabrał 15 milionów dolarów w kryptowalutach, po czym wyprał je za pomocą Tornado Cash.
Inverse Finance jest najnowszą ofiarą exploita DeFi, który doprowadził do utraty ponad 15 milionów dolarów – ujawniła w ten weekend firma Peckshield. Firma zajmująca się bezpieczeństwem blockchain opublikowała tweeta o prostej treści: „Cześć, @InverseFinance, możesz chcieć rzucić okiem”, powiązanego z transakcją na Etherscan.
Pranie kryptowalut przez Tornado Cash
W ciągu ostatnich kilku godzin exploit wysłał setki transakcji Ethereum do Tornado Cash. Tornado Cash jest standardowym narzędziem hakerów i exploitów, którzy próbują ukryć historię swoich transakcji. Opisują oni swoją usługę jako narzędzie, które „zwiększa prywatność transakcji poprzez zerwanie połączenia on-chain między adresem źródłowym i docelowym”. Wykorzystuje ona inteligentny kontrakt, który akceptuje depozyty ETH, które można wypłacić z innego adresu.”
Użytkownicy generują losowy klucz i deponują ETH wraz z banknotem. Następnie użytkownik dostarcza dowód klucza do banknotu z innego portfela, aby wypłacić ETH, przerywając w ten sposób łańcuch transakcji, w którym „tylko użytkownik posiadający banknot może połączyć wpłatę i wypłatę”.
Exploit wykorzystywał wyrocznię TWAP, która wymaga manipulowania ceną tokena zarządzania projektem DeFi o niskiej płynności. Skrót TWAP oznacza Time Weighted Average Price (średnia cena ważona czasem) i „jest konstruowany poprzez odczytanie skumulowanej ceny z pary tokenów ERC20 na początku i na końcu żądanego przedziału czasu. Różnicę w tej skumulowanej cenie można następnie podzielić przez długość przedziału, aby utworzyć TWAP dla tego okresu.” Szczegółowe wyjaśnienie exploita jest dostępne za pośrednictwem wątku utworzonego przez ambasadora społeczności Chainlink, ChainLinkGod.
Kolejny dzień, kolejna manipulacja wyrocznią TWAP
Uwagi:
1. Próbka czasu TWAP była zbyt krótka.
2. Płynność DEX znacznie mniejsza niż płynność CEX
3. Możliwość zawierania transakcji arbitrażowych w łańcuchu usunięta przez atakującego
4. Nie doszło do transakcji arbitrażowych CEX-DEX
5. Cena rynkowa nie uległa zmianie w takim stopniu, jak w przypadku DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) 2 kwietnia 2022
Odpowiedź Inverse Finance
Inverse Finance zabrało dziś wieczorem głos na Twitterze Spaces, aby opowiedzieć o wydarzeniach związanych z exploitem. Wyjaśniają w nim, jak wszystkie decyzje przechodzą przez on-chain governance DAO. Pojawia się więc pytanie, czy pozwala to na szybkie podejmowanie decyzji podczas kryzysów takich jak ten. Podczas dyskusji na Twitterze zespół zachowywał się niezwykle spokojnie i spokojnie, opisując manipulacje wyroczni w sposób bardzo rzeczowy. Winą obarczono „nieefektywność arbitrażu”, ponieważ exploit wykorzystał zabezpieczenie w wysokości 500 000 dolarów, aby w ciągu kilku minut ukraść 15 milionów dolarów.
DAO aktywowało regułę Guardian na Anchor, aby zapobiec przyszłym pożyczkom poprzez protokół wykorzystany podczas exploita. Ma to na celu „złagodzenie wszelkich przyszłych ataków tego samego rodzaju”. Następnie wyjaśniono, w jaki sposób „ochrona pegów” pozwala na szybkie przywrócenie pegów rynkowych i zachęt, których użyto w następstwie exploita. Na Twitterze przez kolejne 30 minut wyjaśniają inne cechy Inverse Finance, apelując o przywrócenie zaufania do projektu.
Exploity to nie hacki.
Warto zauważyć, że osoba odpowiedzialna za to działanie nie jest hakerem, jak niektórzy mogą twierdzić. W wielu artykułach pojawia się obecnie pytanie: „Skoro DeFi jest takie świetne, to dlaczego wciąż jest hakowane?”. Odpowiedź jest taka, że większość exploitów to nie są włamania. Podczas tego ostatniego incydentu nie złamano żadnego kodu ani uprawnień bezpieczeństwa. Zamiast tego ktoś wykorzystał niedopatrzenie programistów.
DeFi obejmuje wiele ruchomych elementów, które mają mniej niż pięć lat. Emocje związane z takimi projektami są na tyle duże, że inwestorzy są skłonni wpłacać środki na niesprawdzone projekty w nadziei na osiągnięcie ogromnych zysków.
Średni dzienny wolumen obrotu tokenem Inverse Finance, INV, wynosi zazwyczaj około 900 000 USD, a jego kapitalizacja rynkowa wynosi 31 mln USD. Dzisiaj, dzięki exploitowi, wolumen wzrósł o 5000%, a TVL projektu wynosi obecnie około 27 milionów dolarów. Liczby te wydają się niskie jak na świat kryptowalut, ale w rzeczywistości są to kwoty, które zmieniłyby życie większości ludzi na całym świecie. Do wykonania exploita potrzeba było 500 000 dolarów, co dało „atakującemu” wzrost o 2900%.
Wypranie pieniędzy za pośrednictwem Tornado Cash sprawia, że argument przemawiający na korzyść DeFi, że wszystkie transakcje są identyfikowalne, staje się znacznie słabszy. Jedyny sposób, jaki widzę, to podążanie za pieniędzmi. Odkrywca wysłał ETH w nominałach 100, 10 i 1. Dlatego w tym przypadku śledzenie go wymagałoby prześledzenia każdej wypłaty tych kwot z Tornado Cash w dającej się przewidzieć przyszłości. Jest to zadanie, które nie jest wykonalne. Nawet jeśli udałoby się to osiągnąć, nie zrobili niczego nielegalnego. Wbrew warunkom użytkowania? Najprawdopodobniej. Wątpliwa etyka? Z pewnością, ale jak wiemy, regulacja DeFi jest obszarem rozwijającym się, a ten incydent został spowodowany przez kogoś, kto dokonał całkowicie legalnych transakcji na publicznym blockchainie.
DeFi jest wciąż w fazie rozwoju. Uwydatnia rosnącą potrzebę stosowania lepszych praktyk i zwiększonej liczby testów w rozwoju web3. Mamy nadzieję, że zaufanie publiczne nie zostanie zniszczone przez niemal codzienne doniesienia o exploitach DeFi.
