Ang Inverse Finance noong Hunyo 16 ay nagdusa ng isa pa atake, na may isang oracle price manipulation exploit na nagpapahintulot sa isang hacker na magnakaw ng humigit-kumulang $1.3 milyon at nagresulta sa pagkalugi ng $5.8 milyon para sa protocol.
Inihayag ng kumpanya ng seguridad ng Blockchain na PeckShield ang mga detalye ng insidente sa isang serye ng mga tweet.
4/ Ang paunang pondo (1 ETH) para ilunsad ang hack ay binawi @TornadoCash. Sa kasalukuyan, 68 ETH ng mga ipinagbabawal na kita ang nananatili pa rin sa account ng hacker https://t.co/lEA5jmsGXZ… at 1000 ETH ang nadeposito sa @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) Hunyo 16, 2022
Ang kamakailang pag-atake na ito ay ginagawa itong pangalawang pag-atake sa DeFi protocol sa loob ng dalawang buwan. Mas maaga noong Abril, ang Inverse Finance ay dumanas ng isang pag-atake na humantong sa pagkawala ng $15.6 milyon.
Ang pagsasamantala
Isang komprehensibong ulat ng pag-atake ay inilathala kalaunan sa website ng Inverse Finance.
Ipinapaliwanag ng ulat na nangyari ang pagsasamantala sa yvcrv3crypto market, na gumamit ng data ng presyo ng Chainlink sa halip na ang panloob na exchange rate ng Curve protocol.
Sinabi ng Inverse Finance na ang pagkakaiba sa presyo ay nagbigay-daan sa hacker na kumuha ng flash loan na 27,000 Wrapped Bitcoin (wBTC) — isang binagong bersyon ng Bitcoin, na katumbas ng presyo, ngunit maaaring gamitin sa Ethereum (ETH) network.
Pagkatapos ay ipinagpalit ng attacker ang wBTC sa tricrypto pool, na humahantong sa pagtaas ng presyo ng yvcrv3crypto LP token sa price oracle at pinahintulutan ang hacker na humiram ng DOLA — Inverse FInance's stablecoin — laban sa collateral na iyon sa Inverse FInance's Frontier platform.
Ang PeckShield, gamit ang Etherscan data, ay nagsabi sa isang tweet na 68 ETH mula sa ninakaw na halaga ay nasa hacker pa rin at 1,000 ETH ang na-deposito sa Tornado Cash, isang cryptocurrency mixer na naghahalo ng iba't ibang stream ng potensyal na makikilalang cryptocurrency upang madagdagan ang anonymity at gawing mas mahirap ang mga transaksyon. upang masubaybayan.
Sinabi ng Inverse FInance' na walang collateral na idineposito ng gumagamit ang naapektuhan ng hack ngunit binanggit na ang Frontier Fed, Inverse Finance DAO ay nagkaroon ng $5.8 milyon sa masamang utang sa DOLA. Karagdagan pa ito sa humigit-kumulang $3.8 milyon na utang sa DOLA na natamo noong Abril hack.
Idinagdag ng DeFi protocol na dahil walang indibidwal na mga user ang direktang naapektuhan ng insidente, walang mga pagbabago ang kailangan sa make-good plan nito para sa mga user na apektado ng insidente noong Abril.
Nangangako ang Inverse Finance ng isang hanay ng mga aksyon
Idinetalye ng Inverse FInance ang isang hanay ng mga hakbang sa kaligtasan, na kinabibilangan ng mga plano para mabawi ang mga pondo at matiyak ang karagdagang kaligtasan sa DeFi platform.
Kasama dito ang isang bukas na apela sa hacker na ibalik ang mga pondo para sa "isang mapagbigay na bounty." Bilang karagdagan, nangako ang DAO na gagawing available ang data ng pag-atake sa sinumang handang tumulong sa pagbawi ng mga pondo para sa isang gantimpala.
Sinabi ng Inverse FInance na nakuha nito ang mga serbisyo ng RiskDAO, isang pangkat ng mga eksperto sa seguridad, upang tingnan ang pag-atake at kumukuha din ng karagdagang mga tauhan sa pagpapatakbo ng seguridad.
Panghuli, ang Inverse FInance ay nag-pause ng paghiram sa lahat ng asset sa Frontier platform ngunit inaasahan ang paghiram laban sa mga asset na may Chainlink-only feed pati na rin ang INV na magpapatuloy sa ilang sandali.
Pinagmulan: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/