Il protocollo open source basato su Ethereum Inverse Finance ha subito un altro hack che ha portato alla perdita di oltre 1.2 milioni di dollari di criptovalute. L'exploit è il secondo attacco della piattaforma in due mesi.
La finanza inversa sfruttata di nuovo
In un filo tweet della società di sicurezza blockchain PeckShield giovedì (16 giugno 2022), l'attacco a Inverse Finance è stato possibile a causa di una manipolazione dell'oracolo dei prezzi. Mentre PeckShield ha affermato che l'hacker ha guadagnato circa $ 1.26 milioni dall'exploit, l'azienda ha notato che le perdite di Inverse Finance potrebbero essere maggiori.
L'attaccante in questione ha utilizzato un prestito lampo per sfruttare l'oracolo del prezzo del protocollo. I prestiti flash sono un tipo speciale di prestito on-chain nello spazio crittografico in cui un utente può prendere in prestito fondi da un pool di prestiti senza inviare garanzie, ma il prestito deve essere rimborsato nella stessa transazione.
I prestiti flash vengono solitamente utilizzati per ottenere fondi per sfruttare le opportunità di arbitraggio nell'ecosistema della finanza decentralizzata. L'arbitraggio è quando un token ha due prezzi quotati su due mercati diversi e quindi consente ai trader di acquistare a buon mercato su una piattaforma e vendere rapidamente per un profitto su un altro mercato.
Questi prestiti, tuttavia, possono essere utilizzati in modo dannoso dagli sfruttatori, come è avvenuto in più casi. Tali attacchi spesso implicano l'utilizzo della scorta di fondi presi in prestito per sbilanciare il pool di liquidità sui protocolli DeFi.
I dati on-chain mostrano che lo sfruttatore ha preso in prestito per la prima volta 27,000 bitcoin incartati (wBTC) per un valore di circa $ 580 milioni.
Questa somma presa in prestito è stata utilizzata per manipolare i feed dei prezzi sul protocollo, distorcendo l'equilibrio della liquidità della piattaforma. Il risultato è stato che lo sfruttatore è stato in grado di drenare 53 BTC e 100,000 tether (USDT) per un totale di 1.2 milioni di dollari.
Tuttavia, il protocollo di prestito in precedenza disse che i fondi degli utenti erano al sicuro, aggiungendo che il protocollo ha interrotto i prestiti per indagare sulla questione.
“Inverse ha temporaneamente sospeso i prestiti a seguito di un incidente questa mattina in cui DOLA è stato rimosso dal nostro mercato monetario, Frontier. Stiamo indagando sull'incidente, tuttavia non sono stati presi o rischiati i fondi degli utenti. Stiamo indagando e presto forniremo maggiori dettagli”.
Problemi di prestito flash di DeFi
L'ultimo exploit arriva due mesi dopo che gli hacker hanno prosciugato oltre 15 milioni di dollari di criptovaluta da Inverse Finance. Secondo una relazione di cripto.news, l'attaccante ha sfruttato una vulnerabilità nell'oracolo dei prezzi Keep3r del protocollo per eseguire l'attacco.
Nel frattempo, negli ultimi tempi c'è stato un aumento degli attacchi di prestito flash ai protocolli DeFi. Beanstalk Farms ha perso 76 milioni di dollari in criptovalute a favore degli hacker ad aprile, con la piattaforma che in seguito ha offerto il 10% dei fondi rubati agli aggressori se avessero restituito i soldi.
Agave e Hundred Finance hanno anche perso criptovaluta per un valore di 11 milioni di dollari dopo che gli aggressori hanno implementato un exploit di prestito flash. L'attacco è avvenuto 24 ore dopo che gli hacker hanno rubato 3 milioni di dollari in DIA ed Ether dal protocollo DeFi Deus Finance.
Più tardi, ad aprile, Deus Finance è stata nuovamente sfruttata, con furti di hacker oltre $ 13 milioni.
Fonte: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/