Mindössze két hónappal azután, hogy 15.6 millió dollárt veszített egy ár-orákulum-manipuláció során, az Inverse Finance-t ismét megsértették gyorshitel kizsákmányolás, amelynek során a támadók 1.26 millió dollárt tettek ki a Tetherben (USDT) és a Wrapped Bitcoin (wBTC).
Az Inverse Finance egy Ethereum-alapú decentralizált pénzügyi (DeFi) protokoll, a gyorskölcsön pedig egyfajta kriptokölcsön, amelyet általában egyetlen tranzakción belül vesznek fel és térítenek vissza. Az Oracles kívülálló árinformációkat közöl.
A legújabb kizsákmányolás úgy működött, hogy egy gyorskölcsön segítségével manipulálták a protokoll pénzpiaci alkalmazása által használt likviditásszolgáltató (LP) token árjóslását. Ez lehetővé tette a támadó számára, hogy nagyobb összeget vegyen kölcsön a protokoll stabil érméből, Dola-ból (DOLA), mint amennyi fedezetet feladott, így zsebre tehette a különbözetet.
A támadás alig több mint két hónappal egy hasonló április 2-i támadás után történt kihasználni, amely során a támadók mesterségesen manipulálják a fedezett token árakat egy ár-orákulumon keresztül, hogy a pénzeszközöket elszívják a felfújt árak felhasználásával.
A támadásra válaszul az Inverse Finance ideiglenesen felfüggesztette a hitelfelvételt, és eközben eltávolította a DOLA-t a pénzpiacról kivizsgálta az esetet, mondván, a felhasználói alapok nem voltak veszélyben.
Az Inverse ideiglenesen felfüggesztette a hitelfelvételt egy ma reggeli incidenst követően, amikor a DOLA-t eltávolították pénzpiacunkról, a Frontierről. Kivizsgáljuk az incidenst, de nem vettek fel felhasználói pénzt, vagy nem volt veszélyben. Kivizsgáljuk, és hamarosan további részletekkel szolgálunk.
— Inverse+ (@InverseFinance) Június 16, 2022
Később megerősített hogy csak a támadó letétbe helyezett fedezete érintett az incidensben, és csak az ellopott DOLA miatt keletkezett tartozása saját magának. Azt bátorította a támadót, hogy adja vissza a pénzt „nagylelkű jutalom” fejében.
Összességében a támadók 99,976 53.2 USDT-t és XNUMX wBTC-t nyertek a támadásból, ezeket ETH-ra cserélték, mielőtt az egészet a Tornado Cash kriptovaluta-keverőn keresztül küldték volna, megpróbálva elhomályosítani a jogtalanul szerzett nyereséget.
Az előző támadás áprilisban a támadók 15.6 millió dollárt kerestek az Etherben (ETH), wBTC, Yearn.Finance (YFI) és a DOLA.
DeFi piactér Deus Finance márciusban hasonló kizsákmányolást szenvedett el, amikor a támadók árpárosítást manipulálnak egy orákulumon belül, ami 200,000 XNUMX Dai nyereséget eredményez (DAI) és 1101.8 ETH, akkor több mint 3 millió dollár értékben.
Beanstalk Farms, egy hitelalapú stablecoin protokoll, elvesztette mind a 182 millió dollár értékű biztosítékot két rosszindulatú kormányzási javaslat által okozott gyorskölcsön-támadásban, amely végül minden forrást elszívott a protokollból.
Hogyan sikerült a legutóbbi támadás
Blockchain biztonsági cég, a BlockSec elemzett hogy a támadó 27,000 XNUMX wBTC-t kölcsönzött gyorskölcsönként, és egy kis összeget az Inverse Finance fedezetének feladására használt LP tokenre cserélt, hogy a felhasználók kölcsönözhessenek kriptoeszközöket.
A maradék wBTC volt USDT-re cserélték, aminek következtében a támadó fedezett LP tokenjének ára jelentősen megemelkedett az árjóslás szemében. Mivel ezeknek az LP tokeneknek az értéke az áremelkedés miatt most jóval többet ér, a támadó a szokásosnál nagyobb összeget vett kölcsön a DOLA stablecoinból.
A DOLA értéke jóval többet ért, mint a letétbe helyezett fedezet, ezért a támadó a DOLA-t USDT-re cserélte, a korábbi wBTC-USDT cserét pedig visszafordították, hogy visszafizessék az eredeti gyorskölcsönt.
Forrás: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack