Vetëm dy muaj pasi humbi 15.6 milionë dollarë në një shfrytëzim të manipulimit të orakullit të çmimeve, Inverse Finance është goditur sërish me një hua flash shfrytëzimi që bëri që sulmuesit të fitonin 1.26 milionë dollarë në Tether (USDT) dhe Bitcoin i mbështjellë (wBTC).
Inverse Finance është një protokoll financimi i decentralizuar (DeFi) i bazuar në Ethereum dhe një kredi flash është një lloj kredie kripto që zakonisht merret hua dhe kthehet brenda një transaksioni të vetëm. Oracle raporton informacione të jashtme të çmimeve.
Shfrytëzimi i fundit funksionoi duke përdorur një kredi flash për të manipuluar orakullin e çmimit për një shenjë të ofruesit të likuiditetit (LP) të përdorur nga aplikacioni i tregut të parasë të protokollit. Kjo i lejoi sulmuesit të merrte hua një sasi më të madhe të monedhës stabile të protokollit, Dola (DOLA), sesa shuma e kolateralit që ata postuan, duke i lënë ata të merrnin në xhep diferencën.
Sulmi vjen pak më shumë se dy muaj pas një 2 prilli të ngjashëm shfrytëzoj, i cili pa sulmuesit të manipulonin artificialisht çmimet e kolateralizuara të tokenit përmes një orakull çmimi për të kulluar fondet duke përdorur çmimet e fryra.
Në përgjigje të sulmit, Inverse Finance ndaloi përkohësisht huamarrjen dhe hoqi DOLA nga tregu i parasë ndërsa ajo ka hetuar ngjarjen, duke thënë se asnjë fond përdoruesi nuk ishte në rrezik.
Inverse i ka ndërprerë përkohësisht huamarrjet pas një incidenti këtë mëngjes ku DOLA u hoq nga tregu ynë i parasë, Frontier. Ne po hetojmë incidentin, megjithatë asnjë fond përdoruesi nuk u mor ose nuk ishte në rrezik. Jemi duke hetuar dhe së shpejti do të japim më shumë detaje.
— Inverse+ (@InverseFinance) Qershor 16, 2022
Më vonë i konfirmuar se vetëm kolaterali i depozituar i sulmuesit u ndikua në incident dhe kishte vetëm një borxh ndaj vetes për shkak të DOLA-s së vjedhur. Ajo inkurajoi sulmuesin të kthente fondet në këmbim të një "bujari bujare".
Në total, sulmuesit fituan 99,976 USDT dhe 53.2 wBTC nga sulmi, duke i shkëmbyer ato në ETH përpara se t'i dërgonin të gjitha përmes mikserit të kriptomonedhave Tornado Cash, duke u përpjekur të errësonin fitimet e marra paligjshëm.
Mëparshme sulm në prill, sulmuesit fituan 15.6 milionë dollarë në Ether (ETH), wBTC, Yearn.Finance (YFI) dhe DOLA.
Tregu DeFi Deus Finance vuajti nga një shfrytëzim i ngjashëm në mars, me sulmuesit që manipulojnë një çiftim çmimesh brenda një orakulli që çon në një fitim prej 200,000 Dai (DAI) dhe 1101.8 ETH, me vlerë mbi 3 milionë dollarë në atë kohë.
Beanstalk Farms, një protokoll stabilcoin i bazuar në kredi, humbi të gjithë kolateralin me vlerë 182 milionë dollarë në një sulm të shpejtë kredie të shkaktuar nga dy propozime keqdashëse qeverisjeje, të cilat në fund i hodhën të gjitha fondet nga protokolli.
Si ra sulmi i fundit
Firma e sigurisë Blockchain BlockSec analizuar se sulmuesi ka marrë hua 27,000 wBTC në një hua të shpejtë, duke shkëmbyer një sasi të vogël me tokenin LP të përdorur për të postuar kolateral në Inverse Finance, në mënyrë që përdoruesit të mund të marrin hua asete kripto.
WBTC e mbetur ishte këmbyer në USDT, duke bërë që çmimi i tokenit LP të kolateralizuar të sulmuesit të rritet ndjeshëm në sytë e orakullit të çmimit. Me vlerën e këtyre argumenteve LP tani shumë më tepër për shkak të rritjes së çmimit, sulmuesi huazoi një shumë më të madhe se zakonisht të monedhës së qëndrueshme DOLA.
Vlera e DOLA-s vlente shumë më tepër se kolaterali i depozituar, kështu që sulmuesi e ndërroi DOLA-n në USDT dhe këmbimi i mëparshëm i wBTC me USDT u kthye për të shlyer kredinë fillestare flash.
Burimi: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack