Appena due mesi dopo aver perso $ 15.6 milioni in un exploit di manipolazione dell'oracolo dei prezzi, Inverse Finance è stata nuovamente colpita da un prestito flash exploit che ha visto gli aggressori rubare 1.26 milioni di dollari in Tether (USDT) e Wrapped Bitcoin (wBTC).
Inverse Finance è un protocollo di finanza decentralizzata (DeFi) basato su Ethereum e un prestito flash è un tipo di prestito crittografico che di solito viene preso in prestito e restituito all'interno di una singola transazione. Gli oracoli segnalano informazioni sui prezzi esterne.
L'ultimo exploit ha funzionato utilizzando un prestito flash per manipolare l'oracolo del prezzo per un token del fornitore di liquidità (LP) utilizzato dall'applicazione del mercato monetario del protocollo. Ciò ha consentito all'attaccante di prendere in prestito una quantità maggiore della stablecoin del protocollo, Dola (DOLA), rispetto alla quantità di collaterale pubblicato, facendogli intascare la differenza.
L'attacco arriva poco più di due mesi dopo un simile 2 aprile sfruttare, che ha visto gli aggressori manipolare artificialmente i prezzi dei token collateralizzati attraverso un oracolo dei prezzi per drenare fondi utilizzando i prezzi gonfiati.
In risposta all'attacco, Inverse Finance ha sospeso temporaneamente i prestiti e ha rimosso DOLA dal mercato monetario indagato sull'incidente, dicendo che i fondi degli utenti non erano a rischio.
Inverse ha temporaneamente sospeso i prestiti a seguito di un incidente questa mattina in cui DOLA è stato rimosso dal nostro mercato monetario, Frontier. Stiamo indagando sull'incidente, tuttavia non sono stati presi o rischiati i fondi degli utenti. Stiamo indagando e forniremo presto maggiori dettagli.
— Inverso+ (@InverseFinance) 16 Giugno 2022
E dopo confermato che solo la garanzia depositata dall'attaccante è stata colpita nell'incidente e ha contratto un debito con se stessa solo a causa del DOLA rubato. Esso ha incoraggiato l'attaccante a restituire i fondi in cambio di una "generosa generosità".
Correlato: Gli aggressori saccheggiano $ 5 milioni da Osmosis in LP exploit, $ 2 milioni restituiti subito dopo
In totale, gli aggressori hanno guadagnato 99,976 USDT e 53.2 wBTC dall'attacco, scambiandoli con ETH prima di inviare il tutto attraverso il mixer di criptovalute Tornado Cash, tentando di offuscare i guadagni illeciti.
Il precedente attacco ad aprile gli aggressori hanno rubato 15.6 milioni di dollari in Ether (ETH), wBTC, Yearn.Finance (YFI) e DOLA.
Mercato DeFi Deus Finance ha subito un simile exploit a marzo, con gli aggressori che manipolano un abbinamento di prezzi all'interno di un oracolo portando a un guadagno di 200,000 Dai (DAI) e 1101.8 ETH, per un valore di oltre $ 3 milioni all'epoca.
Beanstalk Farms, un protocollo stablecoin basato sul credito, ha perso tutti i $ 182 milioni di garanzie in un attacco di prestito lampo causato da due proposte di governance dannose, che alla fine hanno prosciugato tutti i fondi dal protocollo.
Come è andato a finire l'ultimo attacco
La società di sicurezza blockchain BlockSec analizzato che l'attaccante ha preso in prestito 27,000 wBTC in un prestito lampo, scambiando una piccola quantità con il token LP utilizzato per inviare garanzie in Inverse Finance in modo che gli utenti possano prendere in prestito risorse crittografiche.
Il restante wBTC era scambiato in USDT, provocando un aumento significativo del prezzo del token LP collateralizzato dell'attaccante agli occhi dell'oracolo del prezzo. Con il valore di questi token LP che ora vale molto di più a causa dell'aumento del prezzo, l'attaccante ha preso in prestito una quantità maggiore del solito della stablecoin DOLA.
Il valore della DOLA valeva molto di più della garanzia depositata, quindi l'attaccante ha scambiato la DOLA in USDT e il precedente scambio da wBTC a USDT è stato annullato per rimborsare il prestito flash originale.
Fonte: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack