Vaid kaks kuud pärast 15.6 miljoni dollari kaotamist hinnaoraakli manipuleerimisel on Inverse Finance taas tabanud kiirlaen ärakasutamine, mille käigus ründasid Tetheris 1.26 miljonit dollarit (USDT) ja Wrapped Bitcoin (wBTC).
Inverse Finance on Ethereumil põhinev detsentraliseeritud finantseerimise (DeFi) protokoll ja kiirlaen on teatud tüüpi krüptolaen, mis tavaliselt laenatakse ja tagastatakse ühe tehinguga. Oracles edastab hinnavälist teavet.
Viimane ärakasutamine töötas kiirlaenu abil, et manipuleerida protokolli rahatururakenduses kasutatava likviidsuse pakkuja (LP) märgi hinnaoraakliga. See võimaldas ründajal laenata suurema summa protokolli stabiilsest mündist Dola (DOLA) kui nende postitatud tagatise summa, mis võimaldas neil vahe sisse kanda.
Rünnak toimus veidi enam kui kaks kuud pärast sarnast 2. aprilli ära kasutama, kus ründajad manipuleerisid kunstlikult tagatise märgi hindadega hinnaoraakli kaudu, et raha ära kasutada, kasutades paisutatud hindu.
Vastuseks rünnakule peatas Inverse Finance ajutiselt laenuvõtmise ja eemaldas DOLA rahaturult uuris juhtunut, öeldes, et kasutajate raha pole ohus.
Inverse on ajutiselt peatanud laenuvõtmise pärast tänahommikust juhtumit, kus DOLA eemaldati meie rahaturult Frontier. Uurime juhtunut, kuid kasutajalt raha ei võetud või see oli ohus. Uurime ja anname peagi täpsema teabe.
— Inverse+ (@InverseFinance) Juuni 16, 2022
Seda hiljem kinnitatud et juhtum sai mõjutatud ainult ründaja hoiustatud tagatisraha ja tal tekkis varastatud DOLA tõttu võlg vaid iseenda ees. See julgustas ründajat raha tagastama vastutasuks "helde halastuse eest".
Kokku võitsid ründajad rünnakust 99,976 53.2 USDT ja XNUMX wBTC, vahetades need ETH-ga, enne kui saatsid selle kõik krüptovaluutade segisti Tornado Cashi kaudu, püüdes ebaseaduslikult saadud kasumit hägustada.
Eelmine rünnak aprillis teenisid ründajad Etheris 15.6 miljonit dollarit (ETH), wBTC, Yearn.Finance (YFI) ja DOLA.
DeFi turg Deus Finance kannatas märtsis sarnase ärakasutamise all, kus ründajad manipuleerivad hindade sidumisega oraakli sees, mis toob kaasa 200,000 XNUMX Dai (DAI) ja 1101.8 ETH, mille väärtus oli tol ajal üle 3 miljoni dollari.
Beanstalk Farms, krediidipõhine stabiilse mündi protokoll, kaotas kõik 182 miljoni dollari väärtuses tagatised kiirlaenurünnakus, mille põhjustasid kaks pahatahtlikku juhtimisettepanekut, mis lõpuks tühjendas protokollist kõik rahalised vahendid.
Kuidas viimane rünnak alla läks
Blockchaini turvafirma BlockSec analüüsitud et ründaja laenas kiirlaenuna 27,000 XNUMX wBTC-d, vahetades väikese summa LP-märgi vastu, mida kasutati Inverse Finance'is tagatise postitamiseks, et kasutajad saaksid laenata krüptovarasid.
Ülejäänud wBTC oli vahetati USDT vastu, põhjustades ründaja tagatisega LP-märgi hinna tõusu hinnaoraakli silmis märkimisväärselt. Kuna nende LP-žetoonide väärtus on hinnatõusu tõttu nüüd palju rohkem väärt, laenas ründaja DOLA stabiilse mündi tavapärasest suurema summa.
DOLA väärtus oli palju rohkem väärt kui hoiustatud tagatis, nii et ründaja vahetas DOLA USDT vastu ja varasem wBTC vahetus USDT-ks muudeti algse välklaenu tagasimaksmiseks.
Allikas: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack