Μόλις δύο μήνες μετά την απώλεια 15.6 εκατομμυρίων δολαρίων σε μια εκμετάλλευση χειραγώγησης χρημάτων τιμών, η Inverse Finance δέχτηκε ξανά μια δάνειο flash εκμετάλλευση που οδήγησε τους επιτιθέμενους με 1.26 εκατομμύρια δολάρια στο Tether (USDT) και Wrapped Bitcoin (wBTC).
Το Inverse Finance είναι ένα πρωτόκολλο αποκεντρωμένης χρηματοδότησης (DeFi) που βασίζεται στο Ethereum και ένα δάνειο flash είναι ένας τύπος δανείου κρυπτογράφησης που συνήθως δανείζεται και επιστρέφεται σε μία μόνο συναλλαγή. Η Oracles αναφέρει εξωτερικές πληροφορίες τιμολόγησης.
Το πιο πρόσφατο exploit λειτούργησε χρησιμοποιώντας ένα δάνειο flash για τη χειραγώγηση του χρησμού των τιμών για ένα διακριτικό παρόχου ρευστότητας (LP) που χρησιμοποιείται από την εφαρμογή χρηματαγοράς του πρωτοκόλλου. Αυτό επέτρεψε στον εισβολέα να δανειστεί μεγαλύτερο ποσό του σταθερού νομίσματος του πρωτοκόλλου, Dola (DOLA), από το ποσό της ασφάλειας που δημοσίευσε, επιτρέποντάς του να κερδίσει τη διαφορά.
Η επίθεση έρχεται λίγο περισσότερο από δύο μήνες μετά από μια παρόμοια επίθεση στις 2 Απριλίου εκμεταλλεύονται, το οποίο είδε τους επιτιθέμενους να χειραγωγούν τεχνητά τις τιμές συμβολαίων με εξασφαλίσεις μέσω ενός χρησμού τιμών για να εξαντλήσουν τα κεφάλαια χρησιμοποιώντας τις διογκωμένες τιμές.
Σε απάντηση στην επίθεση, η Inverse Finance σταμάτησε προσωρινά τον δανεισμό και αφαίρεσε την DOLA από την αγορά χρήματος ενώ διερεύνησε το περιστατικό, λέγοντας ότι δεν κινδύνευαν κεφάλαια χρηστών.
Η Inverse έχει διακόψει προσωρινά τα δάνεια μετά από ένα περιστατικό σήμερα το πρωί όπου η DOLA αφαιρέθηκε από την αγορά χρήματος, Frontier. Διερευνούμε το περιστατικό, ωστόσο δεν ελήφθησαν χρήματα από χρήστες ούτε κινδύνευαν. Διερευνούμε και θα δώσουμε περισσότερες λεπτομέρειες σύντομα.
— Inverse+ (@InverseFinance) Ιούνιος 16, 2022
Αργότερα επιβεβαίωσε ότι μόνο η εγγύηση που είχε καταθέσει ο εισβολέας επηρεάστηκε στο συμβάν και είχε μόνο χρέος προς τον εαυτό του λόγω της κλεμμένης DOLA. Το ενθάρρυνε τον εισβολέα να επιστρέψει τα χρήματα σε αντάλλαγμα για μια «γενναιόδωρη γενναιοδωρία».
Συνολικά, οι εισβολείς κέρδισαν 99,976 USDT και 53.2 wBTC από την επίθεση, ανταλλάσσοντάς τα στο ETH πριν τα στείλουν όλα μέσω του μίκτη κρυπτονομισμάτων Tornado Cash, προσπαθώντας να συγκαλύψουν τα παράνομα κέρδη.
Το προηγούμενο επίθεση τον Απρίλιο είδε τους επιτιθέμενους να κερδίζουν 15.6 εκατομμύρια δολάρια σε Ether (ETH), wBTC, Yearn.Finance (YFI) και ΔΟΛΑ.
Αγορά DeFi Deus Finance υπέστη μια παρόμοια εκμετάλλευση τον Μάρτιο, με τους επιτιθέμενους να χειραγωγούν ένα ζεύγος τιμών μέσα σε ένα χρησμό που οδηγεί σε κέρδος 200,000 Dai (DAI) και 1101.8 ETH, αξίας άνω των 3 εκατομμυρίων δολαρίων εκείνη την εποχή.
Beanstalk Farms, ένα πρωτόκολλο stablecoin που βασίζεται σε πίστωση, έχασε όλες τις εξασφαλίσεις αξίας 182 εκατομμυρίων δολαρίων σε μια αστραπιαία επίθεση δανείου που προκλήθηκε από δύο κακόβουλες προτάσεις διακυβέρνησης, οι οποίες στο τέλος εξάντλησαν όλα τα κονδύλια από το πρωτόκολλο.
Πώς έπεσε η τελευταία επίθεση
Η εταιρεία ασφαλείας Blockchain BlockSec αναλύθηκε ότι ο εισβολέας δανείστηκε 27,000 wBTC σε ένα στιγμιαίο δάνειο, ανταλλάσσοντας ένα μικρό ποσό με το διακριτικό LP που χρησιμοποιείται για την καταχώρηση εξασφαλίσεων στο Inverse Finance, ώστε οι χρήστες να μπορούν να δανειστούν περιουσιακά στοιχεία κρυπτογράφησης.
Το υπόλοιπο wBTC ήταν ανταλλάχθηκε σε USDT, με αποτέλεσμα η τιμή του κουπονιού LP του εισβολέα να αυξηθεί σημαντικά στα μάτια του μαντείου τιμών. Με την αξία αυτών των διακριτικών LP τώρα να αξίζει πολύ περισσότερο λόγω της αύξησης της τιμής, ο εισβολέας δανείστηκε ένα μεγαλύτερο ποσό από το συνηθισμένο του σταθερού νομίσματος DOLA.
Η αξία του DOLA άξιζε πολύ περισσότερο από την κατατεθειμένη ασφάλεια, επομένως ο εισβολέας αντάλλαξε το DOLA σε USDT και η προηγούμενη ανταλλαγή wBTC σε USDT αντιστράφηκε για να αποπληρώσει το αρχικό δάνειο flash.
Πηγή: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack