Inverse Finance hoje foi drenado como um atacante feito com $15 milhões em criptograma antes de o lavar através do Tornado Cash.
Inverse Finance é a última vítima de uma exploração DeFi que resultou na perda de mais de 15 milhões de dólares, revelou Peckshield este fim-de-semana. A empresa de segurança Blockchain lançou um tweet que diz simplesmente, “Olá, @InverseFinance, talvez queira dar uma olhadela”, ligado a uma transacção no Etherscan.
Cripto de lavagem através do Tornado Cash
Nas últimas horas, o explorador enviou centenas de transacções de Ethereum para a Tornado Cash. O Tornado Cash é uma ferramenta padrão entre os hackers e exploradores para tentar ofuscar o seu histórico de transacções. Descrevem o seu serviço como uma ferramenta que “melhora a privacidade das transacções ao quebrar a ligação na cadeia entre os endereços de origem e de destino”. Utiliza um contrato inteligente que aceita depósitos ETH que um endereço diferente pode retirar”.
Os utilizadores geram uma chave aleatória e depositam ETH juntamente com a nota. O utilizador fornece então a prova da chave da nota de outra carteira para retirar o ETH, quebrando assim a cadeia de transacção que “só o utilizador que possui a nota pode ligar o depósito e o levantamento”.
A exploração envolveu um oráculo TWAP que requer a manipulação do preço de um símbolo de governação de um projecto DeFi com baixa liquidez. TWAP significa Time Weighted Average Price e “é construído lendo o preço cumulativo de um par de fichas ERC20 no início e no fim do intervalo desejado. A diferença neste preço cumulativo pode então ser dividida pela duração do intervalo para criar um TWAP para esse período”. Uma explicação detalhada da exploração está disponível através de um fio criado pelo embaixador da comunidade Chainlink, ChainLinkGod.
Outro dia, outra manipulação de oráculos TWAP
Notas:
1. A amostra de tempo TWAP era demasiado curta
2. Liquidez DEX significativamente mais fina do que a liquidez CEX
3. Oportunidades de arbitragem na cadeia removidas pelo atacante
4. CEX-DEX arb não ocorreu
5. Preço a nível do mercado não tão afectado como o preço DEX https://t.co/qSgpzAKGxS— ChainLinkGod.eth ⬡ (@ChainLinkGod) 2 de Abril de 2022
A resposta de Finanças Inversa
Inverse Finance levou ao Twitter Spaces esta noite para falar sobre os eventos da exploração. Nele, eles explicam como todas as decisões passam pela governação em cadeia do DAO. Levanta-se assim a questão de saber se isto permite a tomada de decisões rápidas durante crises como esta. A equipa apareceu extremamente calma e recolheu durante o Espaço Twitter, descrevendo a manipulação do oráculo de uma forma muito factual. Culpam a “ineficiência da arbitragem”, pois o explorador utilizou 500.000 dólares de garantia para roubar 15 milhões de dólares em minutos.
O DAO activou agora a regra do Guardião sobre Âncora para evitar futuros empréstimos através do protocolo utilizado durante a exploração. Isto destina-se a “mitigar qualquer ataque futuro do mesmo tipo”. Em seguida, explicam como a sua “protecção de pinos” lhes permite restaurar rapidamente os pinos e incentivos de mercado, que utilizaram no rescaldo da exploração. O Espaço Twitter continua por mais 30 minutos, explicando outras características da Inverse Finance num apelo para restaurar a confiança no projecto.
Exploits não são hacks.
O que é importante notar aqui é que a pessoa responsável por esta acção não é um hacker, como alguns poderão relatar. Muitos artigos perguntam actualmente: “Se a DeFi é tão grande, porque é que continua a ser pirateada”? A resposta é que a maioria das explorações não são hackers. Nenhum código ou permissões de segurança foram quebrados durante este último incidente. Em vez disso, um indivíduo tirou partido de um lapso por parte dos programadores.
DeFi envolve muitas partes móveis, que têm menos de cinco anos de idade. O entusiasmo por tais projectos é suficientemente elevado para que os investidores estejam dispostos a depositar fundos em projectos não comprovados, na esperança de usufruir de ganhos de tamanho superior ao normal.
O símbolo de governação da Inverse Finance, INV, tem normalmente um volume médio diário de cerca de 900.000 dólares com um limite de mercado de 31 milhões de dólares. O volume sobe hoje 5000% devido à exploração, e a TVL do projecto é actualmente reportada em cerca de 27 milhões de dólares. Estes números parecem baixos para o mundo da criptografia mas, na realidade, são quantias que mudariam a vida da maioria das pessoas em todo o mundo. Foram precisos 500.000 dólares para executar a exploração, o que resultou num aumento de 2.900% para o “atacante”.
Ao lavar o dinheiro através do Tornado Cash, o argumento a favor da DeFi de que todas as transacções são rastreáveis torna-se muito mais fraco. A única forma, posso ver, é seguir o dinheiro. O explorador enviou ETH em 100, 10, e 1 denominação. Assim, neste caso, seria necessário rastrear cada levantamento desses montantes do Tornado Cash num futuro previsível. Uma tarefa que não é viável. Mesmo que isto pudesse ser conseguido, eles não fizeram nada de ilegal. Contra os termos de utilização? Muito provavelmente. Questionavelmente ético? Certamente, mas, como sabemos, a regulamentação DeFi é uma área em evolução, e este incidente foi provocado por alguém que faz negócios completamente legais numa cadeia de bloqueio pública.
A DeFi é um trabalho em curso. Realça uma necessidade crescente de melhores práticas e de maiores testes no desenvolvimento da web3. Esperamos que a confiança do público não seja arruinada pelos relatórios quase diários das explorações de DeFi.
