חודשיים בלבד לאחר שהפסיד 15.6 מיליון דולר בניצול מניפולציה של אורקל, Inverse Finance שוב נפגע עם הלוואת פלאש ניצול שגרם לתוקפים לצאת עם 1.26 מיליון דולר ב-Tether (USDT) ו-Wrapped Bitcoin (wBTC).
Inverse Finance הוא פרוטוקול פיננסי מבוזר (DeFi) המבוסס על Ethereum והלוואת פלאש היא סוג של הלוואת קריפטו שבדרך כלל מושאלת ומוחזרת בתוך עסקה אחת. Oracles מדווחים על מידע על תמחור חיצוני.
הניצול האחרון פעל באמצעות הלוואת פלאש כדי לתמרן את אורקל המחיר עבור אסימון ספק נזילות (LP) המשמש את אפליקציית שוק הכסף של הפרוטוקול. זה איפשר לתוקף ללוות כמות גדולה יותר מה-stablecoin של הפרוטוקול, Dola (DOLA), מאשר כמות הבטחונות שהם פרסמו, מה שאפשר לו לכיס את ההפרש.
המתקפה מגיעה קצת יותר מחודשיים לאחר 2 באפריל דומה לנצל, אשר ראה תוקפים מניפולציות מלאכותיות של מחירי אסימון מובטחים באמצעות אורקל מחירים כדי לרוקן כספים באמצעות המחירים המנופחים.
בתגובה למתקפה, Inverse Finance השהתה זמנית את ההלוואות והוציאה את DOLA משוק הכסף בזמן שהיא חקר את האירוע, באומרו שאף כספי משתמש לא היו בסיכון.
Inverse השהתה זמנית את ההלוואות בעקבות תקרית הבוקר שבה DOLA הוסרה משוק הכסף שלנו, Frontier. אנו חוקרים את התקרית אולם לא נלקחו כספי משתמש או היו בסיכון. אנו חוקרים ונספק פרטים נוספים בקרוב.
— Inverse+ (@InverseFinance) יוני 16, 2022
זה מאוחר יותר מאושר שרק הבטחונות שהופקדו של התוקף נפגעו באירוע ורק נוצרה לעצמה חוב עקב ה-DOLA הגנוב. זה עודד את התוקף להחזיר את הכספים בתמורה ל"פרס נדיב".
מידע נוסף: התוקפים שודדים 5 מיליון דולר מאוסמוזיס ב-LP exploit, 2 מיליון דולר הוחזרו זמן קצר לאחר מכן
בסך הכל, התוקפים הרוויחו 99,976 USDT ו-53.2 wBTC מההתקפה, והחליפו אותם ל-ETH לפני ששלחו הכל דרך מערבל המטבעות הקריפטוגרפיים Tornado Cash, בניסיון לטשטש את הרווחים שהושגו בצורה לא נכונה.
הקודם לתקוף באפריל ראו התוקפים 15.6 מיליון דולר ב-Ether (ETH), wBTC, Yearn.Finance (YFI) ו-DOLA.
שוק DeFi Deus Finance סבל מניצול דומה בחודש מרץ, כאשר תוקפים מתמרנים צמד מחירים בתוך אורקל המוביל לרווח של 200,000 דאי (DAI) ו-1101.8 ETH, בשווי של למעלה מ-3 מיליון דולר באותה עת.
Beanstalk Farms, פרוטוקול stablecoin מבוסס אשראי, הפסיד את כל הבטחונות בשווי 182 מיליון דולר במתקפת הלוואות בזק שנגרמה משתי הצעות ממשל זדוניות, שבסופו של דבר רוקנו את כל הכספים מהפרוטוקול.
איך נפלה המתקפה האחרונה
חברת אבטחת בלוקצ'יין BlockSec מְנוּתָח שהתוקף לווה 27,000 wBTC בהלוואת פלאש, והחליף סכום קטן לאסימון LP המשמש לפרסום בטחונות ב-Inverse Finance כדי שמשתמשים יוכלו ללוות נכסי קריפטו.
ה-wBTC שנותר היה הוחלף ל- USDT, מה שגורם למחיר של אסימון ה-LP המובטח של התוקף לעלות משמעותית בעיני אורקל המחיר. כאשר ערכם של אסימוני ה-LP הללו שווים כעת הרבה יותר עקב עליית המחירים, התוקף לווה סכום גדול מהרגיל מה- DOLA stablecoin.
הערך של ה-DOLA היה שווה הרבה יותר מהבטחונות שהופקדו, אז התוקף החליף את ה-DOLA ל-USDT, וההחלפה הקודמת של wBTC ל-USDT הופכת כדי להחזיר את הלוואת הבזק המקורית.
מקור: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack