Deus Finance DAO on kärsinyt toisesta hyväksikäytöstä ja menettänyt 13.4 miljoonan dollarin arvosta ETH:ta hakkerille alle kuukauden kuluttua siitä, kun se oli hakkeroitu samanlaisessa flash-lainahyökkäyksessä noin 3 miljoonalla dollarilla.
Deus DAO menetti yli 16 miljoonaa dollaria kahdessa hyökkäyksessä
Lohkoketjun tietoturvayhtiö PeckShield ilmoitti ensin hyväksikäytöstä väittäen, että vaikka hakkeri tienasi noin 13.4 miljoonaa dollaria, protokolla saattoi menettää enemmän.
- @DeusDao käytettiin hyväksi tänään vuonna https://t.co/USKNHhXeid ~13.4 miljoonan dollarin voitto hakkereille (protokollahäviö voi olla suurempi).
- PeckShield Inc. (@peckshield) Huhtikuu 28, 2022
PeckShieldin mukaan hakkeri käytti flash-lainaa manipuloidakseen hintaoraakkelia ja nostaakseen DEI:n arvoa. Sitten hakkeri käytti paisutettua DEI:tä vakuudeksi lainatakseen ja tyhjentääkseen protokollan. Maaliskuun hyväksikäyttö toteutettiin samalla menetelmällä.
1/ @deusdao Deus Financea käytettiin hyväksi https://t.co/bfYCQcz5rZ, mikä johtaa ~3 miljoonan dollarin voittoon hakkereille (protokollahäviö voi olla suurempi), mukaan lukien 200,000 1101.8 DAI ja XNUMX ETH
- PeckShield Inc. (@peckshield) Maaliskuussa 15, 2022
Hakkeri poisti aluksi 800 ETH alkaen Tornado Cash jäljitellä hyväksikäyttöä ja lähettää varoja Multichainin kautta Fantom. Varastattuaan varat hakkeri maksoi pikalainan ja lähetti tuotot lompakkoonsa.
Nyt näyttää siltä, että hakkeri on siirtänyt suurimman osan tuotoista lompakko, koska lompakossa oli lehdistöhetkellä vain 0.85 ETH.
Deus-tiimin vastaus
Alkuperäisessä vastauksessaan Deus Finance DAO on vaatinut rauhallisuutta paljastettuaan, että sen tiimi työskenteli asian parissa. Pöytäkirja väitti, että kaikki käyttäjien varat olivat turvassa ja ketään käyttäjää ei likvidoitu hyväksikäytön vuoksi.
Moniketjuinen hajautettu johdannaisalusta totesi myös, että $DEI-liitin on palautettu ja että se tarjoaa lisää päivityksiä pian.
Kehittäjätiimi työskentelee DEI-tilanteen parissa.
1. Käyttäjien varat ovat turvassa. Käyttäjiä ei likvidoitu.
2. DEI:n lainananto on väliaikaisesti pysäytetty.
3. $DEI tappi on palautettu.Lisätietoa seuraa.
- GOD Finance DAO (@DeusDao) Huhtikuu 28, 2022
Sen perustaja, pseudonyymi lafachief, eri mieltä miten PeckShield kuvaili hyväksikäyttöä.
Tämä ei ole aivan sitä, mitä tapahtui, aion valmistaa jotain. https://t.co/7zwuPNdkly
— µ Lafa µ (@lafachief) Huhtikuu 28, 2022
Hän lisäsi, että protokolla käyttää "Muon Oraclesia, ei onchainia", ja hakkeri "pystyi manipuloimaan Muonin VWAP-hintoja". Hän jatkoi, että hyökkääjä "pohjimmiltaan "tekelee" ~2 miljoonan USDC:n vaihtoa 100 XNUMX DEI:ksi" ja "manipuloi Muonin VWAP-hintaa sillä".
Tämän tiedän toistaiseksi:
Hyökkääjä käytti tätä tx:ää manipuloidakseen muonin hintaa:https://t.co/G4hFwIjkBy
Muon etsii SWAPSeja solidly poolin sisällä, ja pyrimme muuttamaan sitä yhdessä muonin kanssa lisätäksemme lähteitä ja suodattaaksemme tapahtumat...
— µ Lafa µ (@lafachief) Huhtikuu 28, 2022
Lossless DeFi, salaushakkeroinnin estotyökalu, tarjoutui myös auttamaan Deusta hakkerin saamisessa kiinni, jos se olisi halukas tekemään yhteistyötä.
Hei @DeusDao. Tiimimme on tutkinut asiaa ja uskomme, että voimme saada syyllisen kiinni kanssasi. DMed sinulle, jos haluat työskennellä yhdessä.
— Häviötön (@losslessdefi) Huhtikuu 28, 2022
Jotkut käyttäjät ovat kuitenkin huolissaan alustan turvallisuudesta, koska sama hyväksikäyttö oli tapahtunut kahdesti alle kuukaudessa.
Lähde: https://cryptoslate.com/deus-dao-suffers-another-flash-loan-exploit-loses-over-16m/