Ayon sa isang tiririt ng DeFi analytic company na PeckShield, ang decentralized derivatives protocol na Deus Finance ay dumanas ng pagsasamantala noong Abril 28, 2022. Napansin ng provider ng seguridad ng blockchain na nagawang manipulahin ng attacker ang isang price oracle para sa mga flash loans sa Deus DAO.
Ang Pagtaas at Pagtaas ng Flash Loan Attacks
“Naging posible ang hack dahil sa pagmamanipula na tinulungan ng flashloan ng price oracle na nagbabasa mula sa pares ng StableV1 AMM – USDC/DEI. Ang manipulated na presyo ng collateral DEI ay ginagamit upang humiram at mag-drain ng pool, "paliwanag ni PeckShield.
Ang pagsasamantala ay nagbigay-daan sa malisyosong aktor na humigop ng mahigit $13.4 milyon mula sa lending protocol's liquidity pool sa Fantom Network. Gayunpaman, ang kabuuang pagkawala sa Deus protocol ay maaaring mas mataas, ayon sa security-focused firm na CertiK.
Sa isang tiririt na nai-post noong Huwebes ng umaga, kinumpirma ng CertiK na isang flash loan exploit ang naganap sa Deus platform ngunit tinantiya na ang attacker ay kumita ng humigit-kumulang $16.84 milyon sa kita.
Inilipat ng Hacker ang Mga Ninakaw na Pondo sa Crypto Mixer
Ang hindi kilalang umaatake ay nagawang linlangin ang kakayahan ng mga Deus smart contract na bigyang-kahulugan ang data ng price oracle, na nagpapahintulot sa kanya na manipulahin ang halaga ng collateral DEI. Ang DEI ay fractional reserve stablecoin ng DeFi protocol na naka-peg sa halaga ng US dollar.
Gamit ang napalaki na presyo, gumamit ang hacker ng collateral para humiram ng malalaking halaga ng crypto bilang isang flash loan at maubos ang pool. Di-nagtagal pagkatapos ma-secure ang kanyang pagnakawan na humigit-kumulang 5446 ETH, inilipat ng attacker ang mga pondo mula sa kanyang wallet patungo sa Tornado Cash, isang sikat na tool sa coin mixer.
Sa oras ng pagsulat, ang wallet address na nauugnay sa Deus exploiter ay may balanse lamang na $132, dahil karamihan sa mga ninakaw na pondo ay nai-funnel na sa Tornado Cash privacy solution.
Ang Deus ecosystem ay nababagabag sa kalagayan ng mapangwasak na pagsasamantala sa unang bahagi ng mga oras ng Asya noong Huwebes. Ang pagsasamantala ay nagpadala ng presyo ng DEI na bumagsak ng 16.5% sa nakalipas na 24 na oras, bawat data mula sa CoinGecko. Ang bulto ng mga pagkalugi ay dumating pagkatapos na ang mga kumpanya ng seguridad ng blockchain ay nagpahayag ng mga detalye ng pag-atake ng flash loan.
Sinususpinde ng Mga Developer ng Deus Finance ang DEI Lending
Mabilis na kumilos ang Deus dev team para sugpuin ang panic sa mga user kasunod ng mapangwasak na hack noong Huwebes sa network. Sa isang tiririt na nai-post noong Huwebes ng umaga, tiniyak ng mga tagapagtaguyod ng proyekto sa mga mamumuhunan na ang bilateral na OTC derivatives platform ay ligtas na ngayon.
Kinumpirma ng team na ligtas ang mga pondo ng user at inulit na walang na-liquidate na mamumuhunan. Ipinaliwanag pa nila na ang 1:1 peg ng DEI sa US dollar ay naibalik, ngunit ipinaalam sa mga kalahok sa merkado na ang pagpapahiram ng stablecoin ay pansamantalang itinigil.
Sa kasamaang palad, ang pinakabagong hack sa Deus Finance ay hindi ang una. Noong nakaraang buwan lang, ang DeFi marketplace ay pinasok ng mga umaatake gamit ang parehong flash loan attack vector. Tulad ng iniulat ng crypto.news, nakita ng pagsasamantala ng malware ang mga cybercriminal na umalis na may dalang humigit-kumulang $3 milyon sa ETH at DAI coins.
Kasunod ng paglabag noong Marso 15, inihayag ng Deus Finance DAO ang pagsasara ng kontrata sa pagpapautang ng DEI. Ang CEO ng Deus protocol, si Lafayette Tabor, ay naglatag ng isang plano sa pagbabayad na nagbigay-daan sa mga apektadong user na mabayaran ang kanilang mga pautang at mabawi ang mga na-liquidate na pondo.
Pinagmulan: https://crypto.news/deus-finance-new-flashloan-attack-13m/