הפוך פיננסים ב-16 ביוני סבל מעוד אחד לתקוף, עם ניצול מניפולציית מחירי אורקל המאפשרת להאקר לגנוב כ-1.3 מיליון דולר וכתוצאה מכך הפסד של 5.8 מיליון דולר עבור הפרוטוקול.
חברת האבטחה בלוקצ'יין PeckShield חשפה את פרטי האירוע בסדרת ציוצים.
4/ הקרן הראשונית (1 ETH) להפעלת הפריצה נמשכת ממנה @TornadoCash. נכון לעכשיו 68 ETH של הרווחים הבלתי חוקיים עדיין נשארים בחשבון של ההאקר https://t.co/lEA5jmsGXZ… ו-1000 ETH הופקדו ל @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) יוני 16, 2022
ההתקפה האחרונה הזו הופכת אותה למתקפה השנייה על פרוטוקול DeFi בטווח של חודשיים. מוקדם יותר באפריל, Inverse Finance ספג מתקפה שהובילה להפסד של 15.6 מיליון דולר.
הנצל
מקיף לדווח של המתקפה פורסם מאוחר יותר באתר האינטרנט של Inverse Finance.
הדו"ח מסביר שהניצול קרה בשוק yvcrv3crypto, שהשתמש בנתוני מחיר של Chainlink במקום בשער החליפין הפנימי של פרוטוקול Curve.
Inverse Finance אמר כי אי ההתאמה במחיר אפשרה להאקר לקחת הלוואת בזק של 27,000 ביטקוין עטוף (wBTC) - גרסה שונה של ביטקוין, שהוא שווה במחיר, אך ניתן להשתמש בו ב-Ethereum (ETH).
לאחר מכן, התוקף החליף את ה-wBTC לתוך מאגר הטריקריפטו, מה שהוביל לעלייה במחיר של אסימון yvcrv3crypto LP באורקל המחירים ומאפשר להאקר ללוות DOLA - ה-stablecoin של Inverse FINance - כנגד הבטחונות הללו בפלטפורמת Frontier של Inverse FINance.
PeckShield, תוך שימוש בנתוני Etherscan, אמר בציוץ כי 68 ETH מהסכום שנגנב עדיין נמצא אצל ההאקר ו-1,000 ETH הופקדו ל-Tornado Cash, מערבל מטבעות קריפטוגרפיים שמערבב זרמים שונים של מטבעות קריפטוגרפיים שניתן לזהותם כדי להגביר את האנונימיות ולהקשות על העסקאות לעקוב.
Inverse FINance' אמר ששום ביטחונות שהופקדו על ידי המשתמש לא הושפעו מהפריצה, אך ציין כי ה- Frontier Fed, Inverse Finance DAO נקלע לחובות של DOLA של 5.8 מיליון דולר. זה בנוסף לחוב של כ-3.8 מיליון דולר DOLA שנגרמו בפריצה באפריל.
הפרוטוקול של DeFi הוסיף כי מאחר שאף משתמש אינדיבידואלי לא הושפע ישירות מהאירוע, אין צורך בשינויים בתוכנית התיקון שלו עבור המשתמשים שהושפעו מהתקרית באפריל.
Inverse Finance מבטיח מגוון פעולות
Inverse FINance פירט מגוון אמצעי בטיחות, הכוללים תוכניות להשבת הכספים ולהבטחת בטיחות נוספת בפלטפורמת DeFi.
זה כלל פנייה גלויה להאקר להחזיר את הכספים תמורת "פרס נדיב". בנוסף, ה-DAO הבטיח להנגיש את נתוני המתקפה לכל מי שמוכן לסייע בהשבת הכספים תמורת פרס.
Inverse FINance הצהירה כי היא רכשה את שירותיו של RiskDAO, צוות של מומחי אבטחה, כדי לבחון את המתקפה וכן שוכרת צוות מבצעי אבטחה נוסף.
לבסוף, Inverse FINance השהתה את ההלוואות על כל הנכסים בפלטפורמת Frontier, אך מצפה שהלוואות כנגד נכסים עם הזנות של Chainlink בלבד וכן INV יתחדשו בקרוב.
מקור: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/