Pouhé dva měsíce po ztrátě 15.6 milionu dolarů při zneužití manipulace s cenovými věštci byla společnost Inverse Finance opět zasažena flash půjčka exploit, díky kterému útočníci vydělali 1.26 milionu dolarů v Tetheru (USDT) a zabalené bitcoiny (wBTC).
Inverse Finance je protokol decentralizovaného financování (DeFi) založený na Ethereu a flash půjčka je typ krypto půjčky, která se obvykle půjčuje a vrací v rámci jedné transakce. Oracles hlásí externí informace o cenách.
Nejnovější exploit fungoval pomocí flash půjčky k manipulaci s cenovým orákulem pro token poskytovatele likvidity (LP), který používá aplikace pro peněžní trh protokolu. To útočníkovi umožnilo vypůjčit si větší množství stablecoinů protokolu, Dola (DOLA), než bylo množství kolaterálu, které složili, a nechalo je rozdíl uložit do kapsy.
Útok přichází jen něco málo přes dva měsíce po podobném 2. dubnu využít, který viděl útočníky uměle manipulovat zajištěné ceny tokenů prostřednictvím cenového orákula, aby odčerpali finanční prostředky pomocí nafouknutých cen.
V reakci na útok společnost Inverse Finance dočasně pozastavila půjčování a odstranila DOLA z peněžního trhu incident vyšetřovals tím, že žádné uživatelské prostředky nejsou ohroženy.
Společnost Inverse dočasně pozastavila půjčování po incidentu z dnešního rána, kdy byla společnost DOLA odstraněna z našeho peněžního trhu Frontier. Incident vyšetřujeme, ale žádné uživatelské prostředky nebyly přijaty ani nebyly ohroženy. Prověřujeme a brzy poskytneme další podrobnosti.
— Inverse+ (@InverseFinance) Června 16, 2022
To později potvrzeno že incidentem byla zasažena pouze útočníkova složená zástava a kvůli odcizenému DOLA si vytvořila dluh pouze sama sobě. To vyzval útočníka, aby peníze vrátil výměnou za „velkorysou odměnu“.
Související: Útočníci ukořistili 5 milionů $ z Osmosis v LP exploitu, 2 miliony $ se vrátily brzy poté
Útočníci z útoku celkem získali 99,976 53.2 USDT a XNUMX wBTC, swapovali je na ETH, než to vše odeslali přes směšovač kryptoměn Tornado Cash, čímž se pokusili zatemnit neoprávněně získané zisky.
Předchozí útok v dubnu útočníci vydělali s 15.6 miliony dolarů v etheru (ETH), wBTC, Yearn.Finance (YFI) a DOLA.
Trh DeFi Deus Finance trpěl podobným zneužitím v březnu, přičemž útočníci manipulují s párováním cen v rámci věštce, což vede k zisku 200,000 XNUMX Dai (DAI) a 1101.8 ETH, v té době v hodnotě přes 3 miliony dolarů.
Beanstalk Farms, kreditní stablecoinový protokol, přišla o veškeré zajištění v hodnotě 182 milionů dolarů bleskovým úvěrovým útokem způsobeným dvěma zlomyslnými návrhy vládnutí, které nakonec z protokolu vyčerpaly všechny prostředky.
Jak dopadl nejnovější útok
Blockchain bezpečnostní firma BlockSec analyzovány že útočník si vypůjčil 27,000 XNUMX wBTC v bleskové půjčce a vyměnil malou částku za token LP, který se používá k zajištění kolaterálu v Inverse Finance, aby si uživatelé mohli půjčit krypto aktiva.
Zbývající wBTC bylo swapován na USDT, což způsobí, že cena útočníkova zajištěného LP tokenu v očích cenového orákula výrazně stoupne. Vzhledem k tomu, že hodnota těchto LP tokenů má nyní mnohem vyšší hodnotu kvůli růstu ceny, útočník si vypůjčil větší částku, než je obvyklé u stablecoinu DOLA.
Hodnota DOLA měla mnohem větší hodnotu než uložený kolaterál, takže útočník vyměnil DOLA za USDT a dřívější swap wBTC na USDT byl obrácen, aby splatil původní bleskovou půjčku.
Zdroj: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack