Dalawang buwan lamang matapos mawalan ng $15.6 milyon sa isang pagsasamantala sa pagmamanipula ng presyo ng oracle, ang Inverse Finance ay muling tinamaan ng isang flash loan pagsasamantala na nakita ang mga umaatake ay nakakuha ng $1.26 milyon sa Tether (USDT) at Nakabalot na Bitcoin (wBTC).
Ang Inverse Finance ay isang Ethereum-based na decentralized finance (DeFi) protocol at ang flash loan ay isang uri ng crypto loan na kadalasang hinihiram at ibinabalik sa loob ng isang transaksyon. Ang mga Oracle ay nag-uulat sa labas ng impormasyon sa pagpepresyo.
Ang pinakabagong pagsasamantala ay nagtrabaho sa pamamagitan ng paggamit ng flash loan upang manipulahin ang price oracle para sa isang liquidity provider (LP) token na ginagamit ng application ng money market ng protocol. Pinahintulutan nito ang umaatake na humiram ng mas malaking halaga ng stablecoin ng protocol, Dola (DOLA), kaysa sa halaga ng collateral na kanilang nai-post, na hinahayaan silang maibulsa ang pagkakaiba.
Dumating ang pag-atake sa loob lamang ng dalawang buwan pagkatapos ng katulad na Abril 2 katapangang-gawa, na nakakita ng mga umaatake na artipisyal na minamanipula ng mga collateralized na presyo ng token sa pamamagitan ng isang price oracle upang maubos ang mga pondo gamit ang mga napalaki na presyo.
Bilang tugon sa pag-atake, pansamantalang itinigil ng Inverse Finance ang paghiram at inalis ang DOLA sa money market habang ito nag-imbestiga sa pangyayari, na nagsasabing walang mga pondo ng gumagamit ang nasa panganib.
Pansamantalang itinigil ng Inverse ang mga pautang kasunod ng isang insidente kaninang umaga kung saan inalis ang DOLA sa ating money market, Frontier. Sinisiyasat namin ang insidente gayunpaman walang kinuhang pondo ng user o nasa panganib. Kami ay nag-iimbestiga at magbibigay ng higit pang mga detalye sa lalong madaling panahon.
— Inverse+ (@InverseFinance) Hunyo 16, 2022
Mamaya na mapag- na tanging ang nakadeposito na collateral ng umatake ang naapektuhan sa insidente at nagkautang lamang sa sarili dahil sa nakaw na DOLA. Ito hinikayat ang umaatake na ibalik ang mga pondo bilang kapalit ng "mapagbigay na biyaya."
Sa kabuuan, ang mga umaatake ay nakakuha ng 99,976 USDT at 53.2 wBTC mula sa pag-atake, pinalitan sila sa ETH bago ipadala ang lahat sa pamamagitan ng cryptocurrency mixer na Tornado Cash, na sinusubukang i-obfuscate ang hindi nakuhang mga nadagdag.
Ang nakaraang atake noong Abril ay nakita ng mga umaatake na kumikita ng $15.6 milyon sa Ether (ETH), wBTC, Yearn.Finance (YFI) at DOLA.
DeFi marketplace Deus Finance nagdusa mula sa isang katulad na pagsasamantala noong Marso, na may mga umaatake na nagmamanipula ng isang pagpapares ng presyo sa loob ng isang orakulo na humahantong sa pakinabang ng 200,000 Dai (DAI) at 1101.8 ETH, na nagkakahalaga ng mahigit $3 milyon noong panahong iyon.
Beanstalk Farms, isang credit-based stablecoin protocol, nawala ang lahat ng $182 milyon na halaga ng collateral sa isang mabilis na pag-atake sa pautang na dulot ng dalawang malisyosong panukala sa pamamahala, na sa huli, naubos ang lahat ng pondo mula sa protocol.
Paano bumaba ang pinakahuling pag-atake
Blockchain security firm na BlockSec aralan na humiram ang attacker ng 27,000 wBTC sa isang flash loan, pinapalitan ang maliit na halaga sa LP token na ginamit para mag-post ng collateral sa Inverse Finance upang ang mga user ay makahiram ng mga crypto asset.
Ang natitirang wBTC ay pinalitan sa USDT, na nagiging sanhi ng pagtaas ng presyo ng collateralized LP token ng attacker sa mata ng price oracle. Sa halaga ng mga token ng LP na ito na ngayon ay nagkakahalaga ng higit pa dahil sa pagtaas ng presyo, ang nang-aatake ay humiram ng mas malaking halaga kaysa karaniwan ng DOLA stablecoin.
Ang halaga ng DOLA ay mas malaki kaysa sa idineposito na collateral, kaya pinalitan ng umaatake ang DOLA sa USDT, at ang naunang wBTC sa USDT na swap ay binalik upang mabayaran ang orihinal na flash loan.
Pinagmulan: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack