Команда Deus заявила, что последняя атака не привела к потере средств пользователей.
Deus Finance DAO пострадала от очередной атаки и потеряла $13,4 млн ETH менее чем через месяц после того, как ее взломали в ходе аналогичной атаки на флэш-кредиты на сумму около $3 млн.
Deus DAO потеряла более $16 млн в результате двух атак
Компания PeckShield, занимающаяся безопасностью блокчейна, впервые сообщила об эксплойте, заявив, что хотя хакер получил около $13,4 млн, протокол мог потерять больше
Эксплоит @DeusDao был использован сегодня в https://t.co/USKNHhXeid с ~$13.4M выигрышем для хакера (Потери протокола могут быть больше).
— PeckShield Inc. (@peckshield) Апрель 28, 2022
Согласно PeckShield, хакер использовал флэш-кредит для манипулирования ценовым оракулом и завышения стоимости DEI. Затем хакер использовал раздутый DEI в качестве залога для получения займа и слива протокола. Эксплойт в марте был достигнут с помощью того же метода.
1/ @deusdao Deus Finance был использован в https://t.co/bfYCQcz5rZ, что привело к получению хакером ~$3M (Потеря протокола может быть больше), включая 200,000 DAI и 1101.8 ETH
— PeckShield Inc. (@peckshield) 15 марта 2022
Сначала хакер снял 800 ETH с Tornado Cash для имитации эксплойта, отправив средства через Multichain в Fantom. Похитив средства, хакер оплатил флэш-кредит и отправил выручку на свой кошелек.
Теперь выяснилось, что хакер вывел большую часть средств из кошелька, поскольку по состоянию на момент публикации в кошельке оставалось всего 0,85 ETH.
Реакция команды Deus
В своем первоначальном ответе Deus Finance DAO призвала к спокойствию после того, как сообщила, что ее команда работает над этим. Протокол утверждает, что все средства пользователей находятся в безопасности, и ни один пользователь не был ликвидирован из-за эксплойта.
Многоцепочечная децентрализованная платформа деривативов также заявила, что привязка $DEI восстановлена и что она предоставит больше обновлений в ближайшее время.
Команда разработчиков работает над ситуацией с DEI.
1. Средства пользователей в безопасности. Ни один пользователь не был ликвидирован.
2. Кредитование DEI было временно приостановлено.
3. Привязка $DEI была восстановлена.Более подробная информация последует позже.
— DEUS Finance DAO (@DeusDao) Апрель 28, 2022
Ее основатель, псевдоним lafachief, не согласился с тем, как PeckShield описал эксплойт.
Это не совсем то, что произошло, я подготовлю кое-что. https://t.co/7zwuPNdkly
— µ Лафа µ (@lafachief) Апрель 28, 2022
Он добавил, что протокол использует «мюонные оракулы не на цепочке», и хакер «смог манипулировать ценами VWAP на мюон». Он продолжил, что злоумышленник «по сути «подделал» своп ~2 млн USDC на 100 тыс. DEI» и «манипулировал ценой VWAP мюона».
Это то, что я знаю на данный момент:
Злоумышленник использовал этот tx для манипуляции ценой мюона:https://t.co/G4hFwIjkBy
Muon проверяет SWAPS внутри solidly pool, мы работали над изменением этого вместе с muon, чтобы добавить больше источников и отфильтровать транзакции…
— µ Lafa µ (@lafachief) April 28, 2022
Lossless DeFi, инструмент для смягчения последствий крипто-взлома, также предложил Deus помощь в поимке хакера, если он готов сотрудничать.
Привет @DeusDao Наша команда изучила это и мы считаем, что сможем поймать виновника вместе с вами. Если вы хотите поработать вместе, мы вам напишем.
— Lossless (@losslessdefi) Апрель 28, 2022
Однако некоторые пользователи обеспокоены безопасностью платформы, учитывая, что один и тот же эксплойт произошел дважды менее чем за месяц