Inverse Finance заявила, что эксплойт для манипулирования ценами оракула позволил хакеру украсть около $1,3 млн, что привело к потере $5,8 млн для протокола.
Inverse Finance 16 июня подверглась еще одной атаке: эксплойт для манипулирования ценами oracle позволил хакеру украсть около $1,3 млн, что привело к потере $5,8 млн для протокола.
Компания по безопасности блокчейна PeckShield раскрыла подробности инцидента в серии твитов.
4/ Начальный фонд (1 ETH) для запуска взлома выведен из @TornadoCash В настоящее время 68 ETH от незаконной прибыли все еще остаются на счету хакера https://t.co/lEA5jmsGXZ.. и 1000 ETH были внесены на @TornadoCash pic.twitter.com/fkhCdkAyvM
— PeckShield Inc. (@peckshield) 16 июня 2022
Эта недавняя атака стала второй атакой на протокол DeFi за два месяца. Ранее в апреле компания Inverse Finance подверглась атаке, которая привела к потере $15,6 млн.
Эксплойт
Позднее на сайте Inverse Finance был опубликован полный отчет об атаке.
В отчете объясняется, что эксплойт произошел на крипторынке yvcrv3crypto, который использовал ценовые данные Chainlink вместо внутреннего обменного курса протокола Curve.
Inverse Finance сообщает, что расхождение в ценах позволило хакеру взять флеш-кредит в размере 27 000 Wrapped Bitcoin (wBTC) — модифицированной версии Bitcoin, которая равна по цене, но может использоваться в сети Ethereum (ETH).
Затем злоумышленник обменял wBTC на трикриптопул, что привело к резкому росту цены токена yvcrv3crypto LP на ценовом оракуле и позволило хакеру занять DOLA — стейблкоин Inverse FInance — под этот залог на платформе Frontier компании Inverse FInance.
PeckShield, используя данные Etherscan, сообщил в твите, что 68 ETH из похищенной суммы все еще находятся у хакера, а 1 000 ETH были переведены на Tornado Cash, криптовалютный миксер, который смешивает различные потоки потенциально идентифицируемых криптовалют для повышения анонимности и затруднения отслеживания транзакций.
Inverse FInance» заявила, что взлом не затронул залог, внесенный пользователями, но отметила, что Frontier Fed, Inverse Finance DAO понесла $5,8 млн в виде безнадежного долга DOLA. Это в дополнение к примерно $3,8 млн. долга DOLA, возникшего в результате апрельского взлома.
Протокол DeFi добавил, что поскольку ни один пользователь не пострадал непосредственно в результате инцидента, не требуется вносить изменения в план возмещения ущерба для пользователей, пострадавших от апрельского инцидента.
Inverse Finance обещает ряд действий
Inverse FInance подробно описала ряд мер безопасности, которые включают планы по возврату средств и обеспечению дополнительной безопасности на платформе DeFi.
Это включало открытое обращение к хакеру с призывом вернуть средства за «щедрое вознаграждение». Кроме того, DAO пообещала сделать данные об атаке доступными для всех, кто готов помочь в восстановлении средств за вознаграждение.
Inverse FInance заявила, что для расследования атаки она воспользовалась услугами RiskDAO, группы экспертов по безопасности, а также нанимает дополнительный персонал по обеспечению безопасности.
И наконец, Inverse FInance приостановила заимствования по всем активам на платформе Frontier, но ожидает, что заимствования по активам с каналами только Chainlink, а также INV возобновятся в ближайшее время.
