Vastavalt piiksuma DeFi analüüsiettevõtte PeckShieldi poolt detsentraliseeritud tuletisinstrumentide protokolli Deus Finance kasutati 28. aprillil 2022 ära. Plokiahela turvateenuse pakkuja märkis, et ründajal õnnestus manipuleerida Deus DAO kiirlaenude hinnaoraakliga.
Välklaenurünnakute tõus ja tõus
„Häkkimine sai võimalikuks tänu StableV1 AMM – USDC/DEI paarist loetava hinnaoraakli välklaenu abil manipuleerimisele. Seejärel kasutatakse tagatise DEI manipuleeritud hinda basseini laenamiseks ja tühjendamiseks, ”selgitas PeckShield.
Ärakasutamine võimaldas pahatahtlikul näitlejal Fantom Networki laenuprotokolli likviidsusfondist välja võtta üle 13.4 miljoni dollari. Turvalisusele keskendunud ettevõtte CertiK sõnul võib Deus-protokolli kogukadu olla aga palju suurem.
Aastal piiksuma Neljapäeva hommikul postitatud CertiK kinnitas, et Deusi platvormil toimus kiirlaenu ärakasutamine, kuid hinnangul teenis ründaja umbes 16.84 miljonit dollarit kasumit.
Häkker kannab varastatud raha krüptomikserisse
Tundmatu ründaja suutis ära petta Deuse nutikate lepingute võime tõlgendada hinnaoraakli andmeid, võimaldades tal manipuleerida tagatise DEI väärtusega. DEI on DeFi protokolli osaline reservmünt, mis on seotud USA dollari väärtusega.
Paisutatud hinda kasutades kasutas häkker tagatist, et laenata kiirlaenuna suuri summasid krüptoraha ja tühjendada bassein. Vahetult pärast oma umbes 5446 ETH suuruse saagi kindlustamist kolis ründaja rahakotist raha populaarsesse mündimikseri tööriista Tornado Cashi.
Selle artikli kirjutamise ajal oli Deusi ärakasutajaga seotud rahakoti aadressi saldo vaid 132 dollarit, kuna suurem osa varastatud vahenditest on juba Tornado Cashi privaatsuslahendusse suunatud.
Deusi ökosüsteem keerleb pärast neljapäeva varajastel Aasia tundidel toimunud laastavat ekspluateerimist. CoinGecko andmete põhjal on DEI hind viimase 16.5 tunni jooksul kukkunud 24%. Suurem osa kahjudest tekkis pärast seda, kui plokiahela turvafirmad avalikustasid kiirlaenurünnaku üksikasjad.
Deus Finance'i arendajad peatavad DEI laenuandmise
Deus dev meeskond on kiiresti liikunud, et vaigistada kasutajate seas pärast neljapäevast hävitavat häkkimist võrku. Sees piiksuma Neljapäeva hommikul postitatud projekti toetajad kinnitasid investoritele, et kahepoolne börsiväliste tuletisinstrumentide platvorm on nüüd turvaline.
Meeskond kinnitas, et kasutajate vahendid on turvalised, ja kordas, et ühtegi investorit ei likvideeritud. Lisaks selgitasid nad, et DEI 1:1 sidumine USA dollariga taastati, kuid teavitasid turuosalisi, et stabiilse mündi laenamine on ajutiselt peatatud.
Kahjuks pole Deus Finance'i uusim häkkimine esimene. Just eelmisel kuul tungisid DeFi turule ründajad, kes kasutasid sama välklaenu rünnakuvektorit. Nagu crypto.news teatas, läksid pahavara ärakasutamise tõttu küberkurjategijad minema umbes 3 miljoni dollari väärtuses ETH- ja DAI-müntidega.
Pärast 15. märtsi rikkumist teatas Deus Finance DAO DEI laenulepingu sulgemisest. Deusi protokolli tegevjuht Lafayette Tabor esitas seejärel a hüvitamise kava mis võimaldas mõjutatud kasutajatel oma laenud tagasi maksta ja likvideeritud raha tagasi nõuda.
Allikas: https://crypto.news/deus-finance-new-flashloan-attack-13m/