Mukaan piipittää DeFi-analyytikkoyhtiö PeckShield, hajautettu johdannaisprotokolla Deus Finance kärsi hyväksikäytöstä 28. huhtikuuta 2022. Lohkoketjun tietoturvan tarjoaja huomautti, että hyökkääjä onnistui manipuloimaan Deus DAO:n flash-lainojen hinta-oraakkelia.
Pikalainahyökkäysten nousu ja nousu
"Hakkerointi on mahdollista StableV1 AMM - USDC/DEI -parista lukevan hinta-oraakkelin flashlaina-avusteisen manipuloinnin ansiosta. Vakuuksien DEI:n manipuloitua hintaa käytetään sitten poolin lainaamiseen ja tyhjentämiseen", PeckShield selitti.
Hyödyntämisen ansiosta ilkeä toimija sai yli 13.4 miljoonaa dollaria Fantom Networkin lainausprotokollan likviditeettipoolista. Deus-protokollan kokonaistappio voi kuitenkin olla paljon suurempi turvallisuuteen keskittyvän yrityksen CertiKin mukaan.
Jonkin sisällä piipittää torstaiaamuna julkaistu CertiK vahvisti, että Deus-alustalla oli tapahtunut flash-lainan hyväksikäyttö, mutta arvioi hyökkääjän tuottaneen noin 16.84 miljoonaa dollaria.
Hakkeri siirtää varastetut varat Crypto Mixeriin
Tuntematon hyökkääjä onnistui huijaamaan Deus-älysopimusten kyvyn tulkita hinta-oraakkelitietoja, jolloin hän pystyi manipuloimaan DEI:n vakuuden arvoa. DEI on DeFi-protokollan murto-osavarannon vakaa kolikko, joka on sidottu Yhdysvaltain dollarin arvoon.
Paisunutta hintaa käyttämällä hakkeri lainasi vakuuksia suuria salasummia pikalainana ja tyhjensi poolin. Pian saatuaan noin 5446 ETH:n saaliinsa, hyökkääjä siirsi varoja lompakosta Tornado Cashiin, suosittuun kolikkosekoitustyökaluun.
Kirjoitushetkellä Deus-hyökkääjään liittyvän lompakkoosoitteen saldo on vain 132 dollaria, koska suurin osa varastetuista varoista on jo ohjattu Tornado Cash -tietosuojaratkaisuun.
Deusin ekosysteemi on koukussa torstaina Aasian alkuaikoina tapahtuneen tuhoisan hyökkäyksen jälkeen. Hyödynnyksen vuoksi DEI:n hinta on pudonnut 16.5 % viimeisen 24 tunnin aikana CoinGeckon tietojen mukaan. Suurin osa tappioista tuli sen jälkeen, kun blockchain-turvayritykset julkistivat flash-lainahyökkäyksen yksityiskohdat.
Deus Finance Developers keskeyttää DEI-lainauksen
Deus dev -tiimi on edennyt nopeasti tukahduttaakseen käyttäjien paniikin torstaina verkkoon tapahtuneen tuhoisan hakkeroinnin jälkeen. Jonkin sisällä piipittää Lähetetty torstaiaamuna, projektin tukijat vakuuttivat sijoittajille, että kahdenvälinen OTC-johdannaisalusta on nyt turvallinen.
Tiimi vahvisti, että käyttäjien varat olivat turvassa, ja toisti, että yhtään sijoittajaa ei likvidoitu. He selittivät edelleen, että DEI:n 1:1-sidonnaisuus Yhdysvaltain dollariin palautettiin, mutta ilmoittivat markkinaosapuolille, että vakaan kolikon lainaus oli väliaikaisesti keskeytetty.
Valitettavasti viimeisin hakkerointi Deus Financeen ei ole ensimmäinen. Juuri viime kuussa DeFi-markkinapaikalle soluttautuivat hyökkääjät, jotka käyttivät samaa flash-lainahyökkäysvektoria. Kuten crypto.news raportoi, haittaohjelmien hyväksikäyttö sai kyberrikolliset kävelemään pois noin 3 miljoonan dollarin ETH- ja DAI-kolikoilla.
Maaliskuun 15. päivän rikkomuksen jälkeen Deus Finance DAO ilmoitti sulkevansa DEI:n lainasopimuksen. Deus-protokollan toimitusjohtaja Lafayette Tabor esitti sitten a korvaussuunnitelma jonka avulla asianomaiset käyttäjät pystyivät maksamaan takaisin lainansa ja vaatimaan takaisin realisoituja varoja.
Lähde: https://crypto.news/deus-finance-new-flashloan-attack-13m/