Inverse Finance il 16 giugno ne ha subito un altro attacco, con un exploit di manipolazione dei prezzi Oracle che consente a un hacker di rubare circa $ 1.3 milioni e con conseguente perdita di $ 5.8 milioni per il protocollo.
La società di sicurezza blockchain PeckShield ha rivelato i dettagli dell'incidente in una serie di tweet.
4/ Viene ritirato il fondo iniziale (1 ETH) da cui lanciare l'hack @TornadoCash. Attualmente 68 ETH dei guadagni illeciti rimangono ancora nell'account dell'hacker https://t.co/lEA5jmsGXZ… e sono stati depositati 1000 ETH @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) 16 Giugno 2022
Questo recente attacco lo rende il secondo attacco al protocollo DeFi nell'arco di due mesi. All'inizio di aprile, Inverse Finance ha subito un attacco che ha portato alla perdita di 15.6 milioni di dollari.
L'exploit
Un completo rapporto dell'attacco è stato successivamente pubblicato sul sito web di Inverse Finance.
Il rapporto spiega che l'exploit è avvenuto sul mercato yvcrv3crypto, che utilizzava i dati sui prezzi di Chainlink invece del tasso di cambio interno del protocollo Curve.
Inverse Finance ha affermato che la discrepanza di prezzo ha consentito all'hacker di prendere un prestito flash di 27,000 Wrapped Bitcoin (wBTC), una versione modificata di Bitcoin, che ha lo stesso prezzo, ma può essere utilizzato su Ethereum (ETH) Rete.
L'attaccante ha quindi scambiato il wBTC nel pool tricrypto, portando a un aumento del prezzo del token yvcrv3crypto LP sull'oracle del prezzo e consentendo all'hacker di prendere in prestito DOLA, la stablecoin di Inverse FInance, contro quel collaterale sulla piattaforma Frontier di Inverse FInance.
PeckShield, utilizzando i dati Etherscan, ha affermato in un tweet che 68 ETH dell'importo rubato sono ancora con l'hacker e 1,000 ETH sono stati depositati su Tornado Cash, un mixer di criptovalute che mescola diversi flussi di criptovaluta potenzialmente identificabile per aumentare l'anonimato e rendere le transazioni più difficili rintracciare.
Inverse FInance' ha affermato che nessuna garanzia depositata dagli utenti è stata interessata dall'hack, ma ha notato che la Frontier Fed, Inverse Finance DAO ha contratto $ 5.8 milioni di debiti DOLA inesigibili. Questo si aggiunge al debito DOLA di circa 3.8 milioni di dollari contratto nell'hacking di aprile.
Il protocollo DeFi ha aggiunto che poiché nessun singolo utente è stato direttamente colpito dall'incidente, non sono necessarie modifiche al suo piano di recupero per gli utenti colpiti dall'incidente di aprile.
Inverse Finance promette una serie di azioni
Inverse FInance ha dettagliato una serie di misure di sicurezza, che includono piani per recuperare i fondi e garantire ulteriore sicurezza sulla piattaforma DeFi.
Ciò includeva un appello aperto all'hacker affinché restituisca i fondi per "una generosa taglia". Inoltre, il DAO ha promesso di mettere a disposizione i dati dell'attacco a chiunque sia disposto ad aiutare nel recupero dei fondi per una ricompensa.
Inverse FInance ha dichiarato di aver acquisito i servizi di RiskDAO, un team di esperti di sicurezza, per esaminare l'attacco e sta anche assumendo personale aggiuntivo per le operazioni di sicurezza.
Infine, Inverse FInance ha sospeso i prestiti su tutti gli asset sulla piattaforma Frontier, ma prevede che i prestiti contro gli asset con feed solo Chainlink e INV riprendano a breve.
Fonte: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/