Samo dva mjeseca nakon što je izgubila 15.6 miliona dolara u pokušaju manipulacije cijenama, Inverse Finance je ponovo pogođen flash zajam eksploatacija zbog koje su napadači pobjegli sa 1.26 miliona dolara u Tetheru (USDT) i omotani Bitcoin (wBTC).
Inverse Finance je protokol decentraliziranog financiranja (DeFi) baziran na Ethereumu, a flash zajam je vrsta kripto zajma koji se obično posuđuje i vraća unutar jedne transakcije. Oracles izvještavaju vanjske informacije o cijenama.
Najnoviji eksploat je funkcionirao korištenjem flash zajma za manipulaciju proročanstvom cijene za token dobavljača likvidnosti (LP) koji koristi aplikacija tržišta novca protokola. Ovo je omogućilo napadaču da pozajmi veću količinu stabilnog coina protokola, Dola (DOLA), od iznosa kolaterala koji su dali, dopuštajući im da ubace razliku.
Napad dolazi nešto više od dva mjeseca nakon sličnog 2. aprila iskoristiti, koji je vidio da napadači umjetno manipulišu kolateraliziranim cijenama tokena putem proročanstva cijena kako bi odvukli sredstva koristeći naduvane cijene.
Kao odgovor na napad, Inverse Finance je privremeno pauzirao zaduživanje i uklonio DOLA s tržišta novca dok je istražio incident, rekavši da nijedna korisnička sredstva nisu ugrožena.
Inverse je privremeno pauzirao pozajmice nakon jutrošnjeg incidenta u kojem je DOLA uklonjena sa našeg tržišta novca, Frontier. Istražujemo incident, ali nijedna korisnička sredstva nisu uzeta niti su bila u opasnosti. Istražujemo i uskoro ćemo dati više detalja.
— Inverse+ (@InverseFinance) Juni 16, 2022
Kasnije potvrđeno da je u incidentu zahvaćen samo deponovani kolateral napadača i da je samo sebi zadužio zbog ukradene DOLA-e. To ohrabrio napadača da vrati sredstva u zamenu za "velikodušnu nagradu".
Ukupno, napadači su dobili 99,976 USDT i 53.2 wBTC od napada, razmjenjujući ih u ETH prije nego što su sve to poslali kroz mikser kriptovaluta Tornado Cash, pokušavajući prikriti nezakonito stečene dobitke.
Prethodni Napad u aprilu napadači su pobjegli sa 15.6 miliona dolara u Eteru (ETH), wBTC, Yearn.Finance (AND FI) i DOLA.
DeFi marketplace Deus Finance pretrpio je sličan podvig u martu, s napadačima koji manipuliraju uparivanjem cijena unutar proročišta što dovodi do dobitka od 200,000 Dai (DAI) i 1101.8 ETH, vrijednih preko 3 miliona dolara u to vrijeme.
Beanstalk Farms, protokol stabilnih kovanica zasnovan na kreditima, izgubio svih 182 miliona dolara vrijednog kolaterala u brzom napadu zajma uzrokovanom dva zlonamjerna prijedloga upravljanja, koji su na kraju izvukli sva sredstva iz protokola.
Kako je prošao najnoviji napad
Blockchain sigurnosna firma BlockSec analizirano da je napadač pozajmio 27,000 wBTC u brzoj pozajmici, zamijenivši mali iznos za LP token koji se koristi za postavljanje kolaterala u Inverse Finance kako bi korisnici mogli posuditi kripto imovinu.
Preostali wBTC je bio zamijenjen na USDT, uzrokujući značajno povećanje cijene napadačevog kolateraliziranog LP tokena u očima proročanstva cijena. S obzirom da vrijednost ovih LP tokena sada vrijedi mnogo više zbog rasta cijene, napadač je pozajmio veći iznos nego inače za DOLA stabilni coin.
Vrijednost DOLA-e vrijedila je mnogo više od deponovanog kolaterala, pa je napadač zamijenio DOLA u USDT, a ranija zamjena wBTC-a u USDT je poništena kako bi se otplatio prvobitni flash zajam.
Izvor: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack