Inverse Finance сегодня был осушен, так как злоумышленник ушел с $15 млн в криптовалюте, прежде чем вымыть ее через Tornado Cash.
Inverse Finance стала последней жертвой эксплойта DeFi, в результате которого было потеряно более $15 миллионов, сообщила компания Peckshield в эти выходные. Компания по безопасности блокчейна выпустила твит, в котором просто говорилось: «Привет, @InverseFinance, возможно, вы захотите взглянуть», связанный с транзакцией на Etherscan.
Отмывание криптовалют через Tornado Cash
За последние несколько часов эксплойтер отправил сотни транзакций Ethereum в Tornado Cash. Tornado Cash является стандартным инструментом среди хакеров и эксплойтеров для попытки затушевать историю своих транзакций. Они описывают свой сервис как инструмент, который «повышает конфиденциальность транзакций путем разрыва внутрицепочечной связи между адресами источника и назначения». Он использует смарт-контракт, который принимает депозиты ETH, которые могут быть сняты с другого адреса».
Пользователи генерируют случайный ключ и депонируют ETH вместе с запиской. Затем пользователь предоставляет доказательство ключа к записке из другого кошелька, чтобы снять ETH, тем самым нарушая цепочку транзакций, в которой «только пользователь, владеющий запиской, может связать внесение и снятие средств».
Эксплойт задействовал оракул TWAP, который требует манипулирования ценой токена управления проекта DeFi с низкой ликвидностью. TWAP означает Time Weighted Average Price и «строится путем считывания кумулятивной цены из пары токенов ERC20 в начале и конце желаемого интервала. Разница в этой кумулятивной цене затем может быть разделена на длину интервала, чтобы создать TWAP для этого периода». Подробное объяснение эксплойта доступно в теме, созданной послом сообщества Chainlink, ChainLinkGod.
Другой день, другая манипуляция с оракулом TWAP
Примечания:
1. Временная выборка TWAP была слишком короткой
2. Ликвидность DEX значительно тоньше, чем ликвидность CEX
3. Атакующий удалил возможности для арб на цепочке
4. CEX-DEX arb не произошло
5. На рыночную цену не повлияло ценообразование DEX https://t.co/qSgpzAKGxS— ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
Инверсный финансовый ответ
Inverse Finance сегодня вечером вышла в Twitter Spaces, чтобы рассказать о событиях, связанных с эксплойтом. В нем они объясняют, как все решения проходят через внутрицепочечное управление DAO. Таким образом, возникает вопрос, позволяет ли это быстро принимать решения во время кризисов, подобных этому. Во время общения в Twitter команда выглядела чрезвычайно спокойной и собранной, описывая манипуляции с оракулом очень точно. Они обвиняют «арбитражную неэффективность», поскольку эксплуататор использовал $500 000 залога, чтобы украсть $15 миллионов за считанные минуты.
Теперь DAO активировала правило Guardian на Anchor, чтобы предотвратить будущие заимствования по протоколу, использованному во время эксплойта. Это сделано для того, чтобы «смягчить любые будущие атаки такого же рода». Затем они объясняют, как их «защита привязки» позволяет им быстро восстановить рыночные привязки и стимулы, которые они использовали после эксплойта. Твиттер-пространство продолжается еще 30 минут, объясняя другие особенности Inverse Finance в призыве восстановить доверие к проекту.
Эксплойты — это не взломы.
Здесь важно отметить, что человек, ответственный за это действие, не является хакером, как могут сообщить некоторые. Во многих статьях сейчас задается вопрос: «Если DeFi так хорош, почему его продолжают взламывать?». Ответ заключается в том, что большинство эксплойтов не являются взломами. Во время этого последнего инцидента не были взломаны код или разрешения безопасности. Вместо этого человек воспользовался недосмотром разработчиков.
DeFi включает в себя множество движущихся частей, которым менее пяти лет. Ажиотаж вокруг таких проектов достаточно высок, поэтому инвесторы готовы вкладывать средства в непроверенные проекты в надежде получить огромную прибыль.
Токен управления Inverse Finance, INV, обычно имеет среднедневной объем около $900 000 при рыночной капитализации в $31 млн. Сегодня объем вырос на 5000% благодаря эксплойту, а TVL проекта в настоящее время составляет около $27 млн. Эти цифры кажутся низкими для мира криптовалют, но на самом деле это суммы, которые могли бы изменить жизнь большинства людей во всем мире. Для выполнения эксплойта потребовалось 500 000 долларов, что дало «атакующему» прирост в 2 900%.
Отмывая деньги через Tornado Cash, аргумент в пользу DeFi о том, что все транзакции можно отследить, становится намного слабее. Единственный выход, который я вижу, — это следовать за деньгами. Эксплуататор отправил ETH номиналом 100, 10 и 1. Таким образом, в данном случае, чтобы отследить его, потребуется отследить каждый вывод этих сумм из Tornado Cash в обозримом будущем. Задача, которая не представляется выполнимой. Даже если бы этого можно было достичь, они не сделали ничего противозаконного. Против условий использования? Скорее всего. Сомнительно этично? Конечно, но, как мы знаем, регулирование DeFi — это развивающаяся область, и этот инцидент произошел из-за того, что кто-то совершал совершенно законные сделки на публичном блокчейне.
DeFi — это работа в процессе. Он подчеркивает растущую потребность в улучшении практики и усилении тестирования при разработке web3. Мы надеемся, что общественное доверие не будет разрушено почти ежедневными сообщениями об эксплойтах DeFi.
