Kewangan Songsang pada 16 Jun mengalami satu lagi menyerang, dengan eksploitasi manipulasi harga oracle yang membolehkan penggodam mencuri kira-kira $1.3 juta dan mengakibatkan kerugian $5.8 juta untuk protokol itu.
Syarikat keselamatan Blockchain PeckShield mendedahkan butiran kejadian itu dalam satu siri tweet.
4/ Dana awal (1 ETH) untuk melancarkan penggodaman ditarik balik @TornadoCash. Pada masa ini 68 ETH daripada keuntungan haram masih kekal dalam akaun penggodam https://t.co/lEA5jmsGXZ… dan 1000 ETH telah didepositkan kepada @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) Jun 16, 2022
Serangan baru-baru ini menjadikannya serangan kedua pada protokol DeFi dalam tempoh dua bulan. Terdahulu pada bulan April, Inverse Finance mengalami serangan yang membawa kepada kerugian $15.6 juta.
Eksploitasi
Komprehensif melaporkan serangan itu kemudiannya diterbitkan di laman web Inverse Finance.
Laporan itu menjelaskan bahawa eksploitasi berlaku pada pasaran yvcrv3crypto, yang menggunakan data harga Chainlink dan bukannya kadar pertukaran dalaman protokol Curve.
Inverse Finance berkata percanggahan harga membenarkan penggodam mengambil pinjaman kilat sebanyak 27,000 Wrapped Bitcoin (wBTC) — versi diubah suai Bitcoin, yang sama dalam harga, tetapi boleh digunakan pada Ethereum (ETH) rangkaian.
Penyerang kemudian menukar wBTC ke dalam kumpulan tricrypto, membawa kepada lonjakan harga token yvcrv3crypto LP pada oracle harga dan membenarkan penggodam untuk meminjam stablecoin DOLA — Inverse FInance — terhadap cagaran itu pada platform Inverse FInance Frontier.
PeckShield, menggunakan data Etherscan, berkata dalam tweet bahawa 68 ETH daripada jumlah yang dicuri masih bersama penggodam dan 1,000 ETH telah didepositkan kepada Tornado Cash, pengadun mata wang kripto yang mencampurkan aliran berbeza mata wang kripto yang berpotensi boleh dikenal pasti untuk meningkatkan kerahasiaan nama dan menjadikan transaksi lebih sukar. untuk menjejaki.
Inverse FInance' berkata tiada cagaran yang didepositkan pengguna terjejas oleh penggodaman itu tetapi menyatakan bahawa Frontier Fed, Inverse Finance DAO menanggung hutang DOLA lapuk $5.8 juta. Ini adalah tambahan kepada kira-kira $3.8 juta hutang DOLA yang ditanggung dalam penggodaman April.
Protokol DeFi menambah bahawa oleh kerana tiada pengguna individu yang terjejas secara langsung oleh insiden itu, tiada perubahan diperlukan pada pelan rekaannya untuk pengguna yang terjejas oleh insiden April.
Kewangan Songsang menjanjikan pelbagai tindakan
Inverse FInance memperincikan pelbagai langkah keselamatan, yang termasuk rancangan untuk mendapatkan semula dana dan memastikan keselamatan tambahan pada platform DeFi.
Ini termasuk rayuan terbuka kepada penggodam untuk memulangkan dana untuk "kurniaan yang besar." Di samping itu, DAO berjanji untuk menyediakan data serangan kepada sesiapa sahaja yang bersedia membantu dalam pemulihan dana untuk mendapatkan ganjaran.
Inverse FInance menyatakan bahawa ia memperoleh perkhidmatan RiskDAO, sebuah pasukan pakar keselamatan, untuk meneliti serangan itu dan juga mengambil kakitangan operasi keselamatan tambahan.
Akhir sekali, Inverse FInance telah menghentikan peminjaman pada semua aset pada platform Frontier tetapi menjangkakan peminjaman terhadap aset dengan suapan Chainlink sahaja serta INV akan disambung semula tidak lama lagi.
Sumber: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/