Secondo un Tweet della società di analisi DeFi PeckShield, il protocollo di derivati decentralizzati Deus Finance ha subito un exploit il 28 aprile 2022. Il provider di sicurezza blockchain ha notato che l'attaccante è riuscito a manipolare un oracolo dei prezzi per prestiti flash su Deus DAO.
L'ascesa e l'ascesa degli attacchi di prestito flash
"L'hacking è reso possibile grazie alla manipolazione assistita da flashloan dell'oracolo del prezzo che legge dalla coppia StableV1 AMM - USDC/DEI. Il prezzo manipolato della garanzia DEI viene quindi utilizzato per prendere in prestito e prosciugare il pool", ha spiegato PeckShield.
L'exploit ha consentito all'attore malintenzionato di sottrarre oltre 13.4 milioni di dollari dal pool di liquidità del protocollo di prestito su Fantom Network. Tuttavia, la perdita totale per il protocollo Deus potrebbe essere molto più alta, secondo l'azienda incentrata sulla sicurezza CertiK.
In un Tweet pubblicato giovedì mattina, CertiK ha confermato che si era verificato un exploit di prestito flash sulla piattaforma Deus, ma ha stimato che l'attaccante avesse realizzato un profitto di circa $ 16.84 milioni.
L'hacker trasferisce i fondi rubati in Crypto Mixer
L'ignoto aggressore è stato in grado di ingannare la capacità degli smart contract di Deus di interpretare i dati dell'oracolo dei prezzi, consentendogli di manipolare il valore della garanzia DEI. DEI è la stablecoin a riserva frazionaria del protocollo DeFi ancorata al valore del dollaro USA.
Utilizzando il prezzo gonfiato, l'hacker ha utilizzato garanzie per prendere in prestito ingenti somme di criptovalute come prestito lampo e prosciugare il pool. Poco dopo essersi assicurato il suo bottino di circa 5446 ETH, l'attaccante ha spostato i fondi dal suo portafoglio a Tornado Cash, un popolare strumento per mescolare le monete.
Al momento in cui scrivo, l'indirizzo del portafoglio associato allo sfruttatore Deus ha un saldo di soli $ 132, poiché la maggior parte dei fondi rubati è già stata incanalata nella soluzione per la privacy di Tornado Cash.
L'ecosistema Deus vacilla sulla scia del devastante exploit nelle prime ore asiatiche di giovedì. L'exploit ha fatto crollare il prezzo del DEI del 16.5% nelle ultime 24 ore, secondo i dati di CoinGecko. La maggior parte delle perdite è arrivata dopo che le società di sicurezza blockchain hanno reso pubbliche i dettagli dell'attacco al prestito flash.
Gli sviluppatori di Deus Finance sospendono i prestiti DEI
Il team di sviluppo di Deus si è mosso rapidamente per sedare il panico tra gli utenti dopo il devastante hack sulla rete di giovedì. In un Tweet pubblicato giovedì mattina, i sostenitori del progetto hanno assicurato agli investitori che la piattaforma bilaterale di derivati OTC è ora sicura.
Il team ha confermato che i fondi degli utenti erano al sicuro e ha ribadito che nessun investitore è stato liquidato. Hanno inoltre spiegato che l'ancoraggio 1:1 della DEI al dollaro USA è stato ripristinato, ma hanno informato i partecipanti al mercato che il prestito della stablecoin era stato temporaneamente interrotto.
Sfortunatamente, l'ultimo hack su Deus Finance non è il primo. Proprio il mese scorso, il mercato DeFi è stato infiltrato da aggressori utilizzando lo stesso vettore di attacco con prestito flash. Come riportato da crypto.news, l'exploit del malware ha visto i criminali informatici allontanarsi con circa 3 milioni di dollari in monete ETH e DAI.
A seguito della violazione del 15 marzo, Deus Finance DAO ha annunciato la chiusura del contratto di prestito DEI. L'amministratore delegato del protocollo Deus, Lafayette Tabor, ha quindi presentato a piano di rimborso che ha consentito agli utenti interessati di rimborsare i loro prestiti e recuperare i fondi liquidati.
Fonte: https://crypto.news/deus-finance-new-flashloan-attack-13m/