Σύμφωνα με ένα τιτίβισμα από την εταιρεία ανάλυσης DeFi PeckShield, το πρωτόκολλο αποκεντρωμένων παραγώγων Deus Finance υπέστη εκμετάλλευση στις 28 Απριλίου 2022. Ο πάροχος ασφάλειας blockchain σημείωσε ότι ο εισβολέας κατάφερε να χειραγωγήσει έναν χρησμό τιμών για δάνεια flash στο Deus DAO.
The Rise and Rise of Flash Loan Attacks
«Η εισβολή κατέστη δυνατή λόγω της χειραγώγησης του μαντείου τιμής με τη βοήθεια flashloan που διαβάζεται από το ζεύγος StableV1 AMM – USDC/DEI. Η παραποιημένη τιμή της εγγύησης DEI χρησιμοποιείται στη συνέχεια για δανεισμό και αποστράγγιση της πισίνας», εξήγησε ο PeckShield.
Η εκμετάλλευση επέτρεψε στον κακόβουλο ηθοποιό να αποσπάσει πάνω από 13.4 εκατομμύρια δολάρια από τη δεξαμενή ρευστότητας του πρωτοκόλλου δανεισμού στο Fantom Network. Ωστόσο, η συνολική απώλεια για το πρωτόκολλο Deus θα μπορούσε να είναι πολύ μεγαλύτερη, σύμφωνα με την εταιρεία CertiK που εστιάζει στην ασφάλεια.
Σε τιτίβισμα Δημοσιεύτηκε το πρωί της Πέμπτης, η CertiK επιβεβαίωσε ότι είχε σημειωθεί εκμετάλλευση δανείου φλας στην πλατφόρμα Deus, αλλά υπολόγισε ότι ο εισβολέας είχε περίπου 16.84 εκατομμύρια δολάρια σε κέρδη.
Ο χάκερ μεταφέρει κλεμμένα κεφάλαια σε Crypto Mixer
Ο άγνωστος εισβολέας μπόρεσε να ξεγελάσει την ικανότητα των έξυπνων συμβολαίων Deus να ερμηνεύουν τα δεδομένα του μαντείου τιμών, επιτρέποντάς του να χειραγωγήσει την αξία της εγγύησης DEI. Το DEI είναι το κλασματικό αποθεματικό stablecoin του πρωτοκόλλου DeFi συνδεδεμένο με την αξία του δολαρίου ΗΠΑ.
Χρησιμοποιώντας την διογκωμένη τιμή, ο χάκερ χρησιμοποίησε εξασφαλίσεις για να δανειστεί μεγάλα ποσά κρυπτογράφησης ως δάνειο έκτακτης ανάγκης και να αποστραγγίσει τη δεξαμενή. Λίγο μετά την εξασφάλιση της λείας του ύψους περίπου 5446 ETH, ο εισβολέας μετέφερε κεφάλαια από το πορτοφόλι του στο Tornado Cash, ένα δημοφιλές εργαλείο ανάμειξης νομισμάτων.
Τη στιγμή της σύνταξης, η διεύθυνση πορτοφολιού που σχετίζεται με τον εκμεταλλευτή Deus έχει υπόλοιπο μόλις $132, καθώς τα περισσότερα από τα κλεμμένα κεφάλαια έχουν ήδη διοχετευτεί στη λύση απορρήτου Tornado Cash.
Το οικοσύστημα Deus τυλίγει στον απόηχο της καταστροφικής εκμετάλλευσης τις πρώτες πρωινές ώρες της Ασίας την Πέμπτη. Το exploit οδήγησε την τιμή της DEI να καταρρεύσει κατά 16.5% τις τελευταίες 24 ώρες, ανά δεδομένα από την CoinGecko. Το μεγαλύτερο μέρος των απωλειών προέκυψε μετά τη δημοσιοποίηση των εταιρειών ασφάλειας blockchain με τις λεπτομέρειες της επίθεσης με στιγμιαία δάνεια.
Οι Deus Finance Developers αναστέλλουν τον δανεισμό DEI
Η ομάδα προγραμματιστών Deus κινήθηκε γρήγορα για να καταπνίξει τον πανικό μεταξύ των χρηστών μετά το καταστροφικό hack της Πέμπτης στο δίκτυο. Σε ένα τιτίβισμα Αναρτήθηκε το πρωί της Πέμπτης, οι υποστηρικτές του έργου διαβεβαίωσαν τους επενδυτές ότι η πλατφόρμα διμερών εξωχρηματιστηριακών παραγώγων είναι πλέον ασφαλής.
Η ομάδα επιβεβαίωσε ότι τα κεφάλαια των χρηστών ήταν ασφαλή και επανέλαβε ότι κανένας επενδυτής δεν ρευστοποιήθηκε. Εξήγησαν περαιτέρω ότι η δέσμευση 1:1 της DEI με το δολάριο ΗΠΑ αποκαταστάθηκε, αλλά ενημέρωσαν τους συμμετέχοντες στην αγορά ότι ο δανεισμός του stablecoin είχε προσωρινά διακοπεί.
Δυστυχώς, το τελευταίο hack στο Deus Finance δεν είναι το πρώτο. Μόλις τον περασμένο μήνα, η αγορά DeFi διείσδυσε από επιτιθέμενους που χρησιμοποιούσαν τον ίδιο φορέα επίθεσης δανείου flash. Όπως αναφέρει το crypto.news, η εκμετάλλευση κακόβουλου λογισμικού οδήγησε τους εγκληματίες στον κυβερνοχώρο να απομακρύνονται με περίπου 3 εκατομμύρια δολάρια σε νομίσματα ETH και DAI.
Μετά την παραβίαση της 15ης Μαρτίου, η Deus Finance DAO ανακοίνωσε το κλείσιμο της σύμβασης δανεισμού της DEI. Ο Διευθύνων Σύμβουλος του πρωτοκόλλου Deus, Lafayette Tabor, στη συνέχεια παρουσίασε ένα σχέδιο αποζημίωσης που επέτρεψε στους επηρεαζόμενους χρήστες να αποπληρώσουν τα δάνειά τους και να διεκδικήσουν εκκαθαρισμένα κεφάλαια.
Πηγή: https://crypto.news/deus-finance-new-flashloan-attack-13m/