Vain kaksi kuukautta sen jälkeen, kun Inverse Finance on hävinnyt 15.6 miljoonaa dollaria hintaoraakkelin manipuloinnissa, se on jälleen kärsinyt pikalaina hyväksikäyttö, jonka seurauksena hyökkääjät saivat 1.26 miljoonaa dollaria Tetherissä (USDT) ja Wrapped Bitcoin (wBTC).
Inverse Finance on Ethereum-pohjainen hajautettu rahoitus (DeFi) -protokolla, ja flash-laina on eräänlainen kryptolaina, joka yleensä lainataan ja palautetaan yhdessä tapahtumassa. Oracles raportoi ulkopuolisia hintatietoja.
Viimeisin hyväksikäyttö onnistui käyttämällä flash-lainaa manipuloimaan protokollan rahamarkkinasovelluksen käyttämän likviditeetin tarjoajan (LP) tokenin hinta-oraakkelia. Tämä antoi hyökkääjälle mahdollisuuden lainata suuremman määrän protokollan vakaata kolikkoa, Dolaa (DOLA), kuin hänen lähettämänsä vakuuden määrä, jolloin he saivat taskussaan erotuksen.
Hyökkäys tapahtuu hieman yli kaksi kuukautta samanlaisen huhtikuun 2. päivän jälkeen hyödyntää, jossa hyökkääjät manipuloivat keinotekoisesti vakuudellisia merkkihintoja hinta-oraakkelin avulla varojen tyhjentämiseksi käyttämällä paisutettuja hintoja.
Vastauksena hyökkäykseen Inverse Finance keskeytti väliaikaisesti lainanoton ja poisti DOLAn rahamarkkinoilta sen ajaksi tutkinut tapausta, sanoi, ettei käyttäjien varoja ollut vaarassa.
Inverse on väliaikaisesti keskeyttänyt lainanoton tämän aamun tapauksen jälkeen, jossa DOLA poistettiin rahamarkkinoiltamme, Frontierilta. Tutkimme tapausta, mutta käyttäjiltä ei otettu varoja tai ne olivat vaarassa. Tutkimme asiaa ja annamme lisätietoja pian.
— Inverse+ (@InverseFinance) Kesäkuu 16, 2022
Se myöhemmin vahvistettu että tapahtuma vaikutti vain hyökkääjän tallettamiin vakuuksiin ja että hän sai velkaa vain itselleen varastetun DOLA:n vuoksi. Se rohkaisi hyökkääjää palauttamaan varat vastineeksi "antelias palkkiosta".
Kaiken kaikkiaan hyökkääjät saivat hyökkäyksestä 99,976 53.2 USDT ja XNUMX wBTC:tä, vaihtamalla ne ETH:hen ennen kuin he lähettivät kaiken kryptovaluuttasekoittimen Tornado Cash kautta yrittäen hämärtää väärin hankitut voitot.
Edellisen hyökkäys huhtikuussa hyökkääjät saivat 15.6 miljoonaa dollaria Etherissä (ETH), wBTC, Yearn.Finance (YFI) ja DOLA.
DeFi-markkinapaikka Deus Finance kärsi samanlaisesta hyväksikäytöstä maaliskuussa, jossa hyökkääjät manipuloivat hintaparia oraakkelin sisällä, mikä johtaa 200,000 XNUMX Dai voittoon (DAI) ja 1101.8 ETH, joiden arvo oli tuolloin yli 3 miljoonaa dollaria.
Beanstalk Farms, luottopohjainen stablecoin-protokolla, menetti kaikki 182 miljoonan dollarin vakuudet kahden haitallisen hallintoehdotuksen aiheuttamassa pikalainahyökkäyksessä, joka lopulta vei kaikki varat protokollalta.
Kuinka viimeisin hyökkäys kaatui
Blockchain-turvayritys BlockSec analysoidaan että hyökkääjä lainasi 27,000 XNUMX wBTC:tä flash-lainana ja vaihtoi pienen summan LP-tunnukseen, jota käytettiin vakuuden kirjaamiseen Inverse Financessa, jotta käyttäjät voivat lainata kryptoomaisuutta.
Jäljellä oleva wBTC oli vaihdettu USDT:hen, mikä saa hyökkääjän vakuudellisen LP-tunnuksen hinnan nousemaan merkittävästi hintaoraakkelin silmissä. Koska näiden LP-rahakkeiden arvo on nyt paljon arvokkaampi hinnannousun vuoksi, hyökkääjä lainasi tavallista suuremman summan DOLA-stablecoinia.
DOLA:n arvo oli paljon arvokkaampi kuin talletettu vakuus, joten hyökkääjä vaihtoi DOLAn USDT:hen, ja aikaisempi wBTC:n vaihto USDT:ksi peruutettiin alkuperäisen flash-lainan takaisinmaksamiseksi.
Lähde: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack