Samo dva mjeseca nakon što je izgubio 15.6 milijuna dolara u eksploataciji proročanstva cijena, Inverse Finance je ponovno pogođen flash zajam eksploatacija zbog koje su napadači pobjegli s 1.26 milijuna dolara u Tetheru (USDT) i omotani Bitcoin (wBTC).
Inverse Finance je protokol decentraliziranog financiranja (DeFi) koji se temelji na Ethereumu, a flash zajam je vrsta kripto zajma koji se obično posuđuje i vraća unutar jedne transakcije. Oracles izvješćuje vanjske informacije o cijenama.
Najnoviji exploit funkcionirao je korištenjem flash zajma za manipuliranje proročanstvom cijene za token pružatelja likvidnosti (LP) koji koristi aplikacija tržišta novca protokola. To je omogućilo napadaču da posudi veću količinu stabilnog coin-a protokola, Dola (DOLA), od iznosa kolaterala koji su dali, dopuštajući im da ubace razliku.
Napad dolazi nešto više od dva mjeseca nakon sličnog 2. travnja iskorištavati, koji je vidio kako napadači umjetno manipuliraju kolateraliziranim cijenama tokena putem proročanstva cijena kako bi izvukli sredstva koristeći napuhane cijene.
Kao odgovor na napad, Inverse Finance je privremeno zaustavio zaduživanje i uklonio DOLA s tržišta novca dok je istražio incident, rekavši da sredstva korisnika nisu ugrožena.
Inverse je privremeno zaustavio posudbe nakon jutrošnjeg incidenta u kojem je DOLA uklonjena s našeg tržišta novca, Frontier. Istražujemo incident, no sredstva korisnika nisu uzeta niti su bila ugrožena. Istražujemo i uskoro ćemo dati više detalja.
— Inverse+ (@InverseFinance) Lipnja 16, 2022
Kasnije potvrđen da je u incidentu zahvaćen samo položeni kolateral napadača i da je samo sebi zadužio zbog ukradene DOLE. To potaknuo napadača da vrati sredstva u zamjenu za "velikodušnu nagradu".
Ukupno su napadači zaradili 99,976 USDT i 53.2 wBTC od napada, zamijenivši ih u ETH prije nego što su sve to poslali kroz mikser kriptovaluta Tornado Cash, pokušavajući prikriti nezakonito stečene dobitke.
Natrag napasti u travnju su napadači pobjegli sa 15.6 milijuna dolara u Etheru (ETH), wBTC, Yearn.Finance (YFI) i DOLA.
DeFi tržište Deus Finance pretrpio sličan podvig u ožujku, s napadačima koji manipuliraju uparivanjem cijena unutar proročišta što dovodi do dobitka od 200,000 Dai (DAI) i 1101.8 ETH, vrijednih više od 3 milijuna dolara u to vrijeme.
Beanstalk Farms, protokol za stabilne coine koji se temelji na kreditima, izgubio svih 182 milijuna dolara vrijednog kolaterala u brzom napadu zajma uzrokovanom dvama zlonamjernim prijedlogom upravljanja, koji su na kraju izvukli sva sredstva iz protokola.
Kako je prošao posljednji napad
Blockchain sigurnosna tvrtka BlockSec analiziraju da je napadač posudio 27,000 wBTC u brzom zajmu, zamijenivši mali iznos za LP token koji se koristi za postavljanje kolaterala u Inverse Finance kako bi korisnici mogli posuditi kripto imovinu.
Preostali wBTC je bio zamijenjen na USDT, što uzrokuje značajno povećanje cijene napadačevog kolateraliziranog LP tokena u očima proročanstva cijena. S obzirom da vrijednost ovih LP tokena sada vrijede daleko više zbog rasta cijene, napadač je posudio veći iznos nego inače za DOLA stablecoin.
Vrijednost DOLA-e vrijedila je mnogo više od položenog kolaterala, pa je napadač zamijenio DOLA-u u USDT, a ranija zamjena wBTC-a u USDT je poništena kako bi se vratio izvorni flash zajam.
Izvor: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack