Η Inverse Finance στις 16 Ιουνίου έπαθε άλλη μια επίθεση, με μια εκμετάλλευση χειραγώγησης τιμών μαντείου που επιτρέπει σε έναν χάκερ να κλέψει περίπου 1.3 εκατομμύρια δολάρια και με αποτέλεσμα την απώλεια 5.8 εκατομμυρίων δολαρίων για το πρωτόκολλο.
Η εταιρεία ασφαλείας Blockchain PeckShield αποκάλυψε τις λεπτομέρειες του περιστατικού σε μια σειρά από tweets.
4/ Αποσύρεται το αρχικό κεφάλαιο (1 ETH) για την έναρξη του hack @TornadoCash. Επί του παρόντος, 68 ETH από τα παράνομα κέρδη εξακολουθούν να παραμένουν στον λογαριασμό του χάκερ https://t.co/lEA5jmsGXZ… και έχουν κατατεθεί 1000 ETH @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) Ιούνιος 16, 2022
Αυτή η πρόσφατη επίθεση την καθιστά τη δεύτερη επίθεση στο πρωτόκολλο DeFi σε διάστημα δύο μηνών. Νωρίτερα τον Απρίλιο, η Inverse Finance υπέστη επίθεση που οδήγησε σε απώλεια 15.6 εκατομμυρίων δολαρίων.
Η εκμετάλλευση
Μια ολοκληρωμένη αναφέρουν της επίθεσης δημοσιεύτηκε αργότερα στον ιστότοπο της Inverse Finance.
Η αναφορά εξηγεί ότι η εκμετάλλευση έγινε στην αγορά yvcrv3crypto, η οποία χρησιμοποίησε δεδομένα τιμών Chainlink αντί για την εσωτερική ισοτιμία του πρωτοκόλλου Curve.
Η Inverse Finance είπε ότι η διαφορά τιμής επέτρεψε στον χάκερ να πάρει ένα δάνειο 27,000 Wrapped Bitcoin (wBTC) — μια τροποποιημένη έκδοση του Bitcoin, το οποίο είναι ίσο σε τιμή, αλλά μπορεί να χρησιμοποιηθεί στο Ethereum (ETH) δίκτυο.
Στη συνέχεια, ο εισβολέας αντάλλαξε το wBTC στη δεξαμενή τρικρυπτογράφησης, οδηγώντας σε αύξηση της τιμής του διακριτικού yvcrv3crypto LP στο μαντείο τιμών και επιτρέποντας στον χάκερ να δανειστεί το DOLA - το stablecoin της Inverse Finance - έναντι αυτής της ασφάλειας στην πλατφόρμα Frontier της Inverse Finance.
Ο PeckShield, χρησιμοποιώντας δεδομένα Etherscan, είπε σε ένα tweet ότι 68 ETH από το κλεμμένο ποσό είναι ακόμα στον χάκερ και 1,000 ETH έχουν κατατεθεί στο Tornado Cash, έναν μίκτη κρυπτονομισμάτων που αναμιγνύει διαφορετικές ροές δυνητικά αναγνωρίσιμων κρυπτονομισμάτων για να αυξήσει την ανωνυμία και να κάνει τις συναλλαγές πιο δύσκολες να ιχνηλατήσει.
Η Inverse Finance είπε ότι καμία εξασφάλιση που κατατέθηκε από τους χρήστες δεν επηρεάστηκε από το hack, αλλά σημείωσε ότι η Frontier Fed, Inverse Finance DAO είχε 5.8 εκατομμύρια δολάρια σε επισφαλές χρέος DOLA. Αυτό προστίθεται στο χρέος περίπου 3.8 εκατομμυρίων δολαρίων DOLA που προέκυψε στο hack του Απριλίου.
Το πρωτόκολλο DeFi πρόσθεσε ότι, δεδομένου ότι κανένας μεμονωμένος χρήστης δεν επηρεάστηκε άμεσα από το συμβάν, δεν απαιτούνται αλλαγές στο καλό σχέδιό του για τους χρήστες που επηρεάστηκαν από το συμβάν του Απριλίου.
Η Inverse Finance υπόσχεται μια σειρά από ενέργειες
Η Inverse Finance παρουσίασε μια σειρά μέτρων ασφαλείας, τα οποία περιλαμβάνουν σχέδια ανάκτησης των κεφαλαίων και διασφάλιση πρόσθετης ασφάλειας στην πλατφόρμα DeFi.
Αυτό περιελάμβανε μια ανοιχτή έκκληση προς τον χάκερ να επιστρέψει τα κεφάλαια για «μια γενναιόδωρη αμοιβή». Επιπλέον, το DAO υποσχέθηκε να διαθέσει τα δεδομένα της επίθεσης σε όποιον είναι πρόθυμος να βοηθήσει στην ανάκτηση των κεφαλαίων για μια ανταμοιβή.
Η Inverse Finance δήλωσε ότι απέκτησε τις υπηρεσίες της RiskDAO, μιας ομάδας εμπειρογνωμόνων σε θέματα ασφάλειας, για να εξετάσει την επίθεση και επίσης προσλαμβάνει επιπλέον προσωπικό ασφαλείας.
Τέλος, η Inverse Finance έχει διακόψει τον δανεισμό όλων των περιουσιακών στοιχείων στην πλατφόρμα Frontier, αλλά αναμένει ότι ο δανεισμός έναντι περιουσιακών στοιχείων με ροές μόνο για Chainlink καθώς και με το INV θα συνεχιστεί σύντομα.
Πηγή: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/