Das auf Ethereum basierende Open-Source-Protokoll Inverse Finance erlitt einen weiteren Hack, der zum Verlust von Kryptowährungen im Wert von über 1.2 Millionen Dollar führte. Der Exploit ist der zweite Angriff auf die Plattform innerhalb von zwei Monaten.
Inverse Finance erneut ausgenutzt
In einer Tweet-Thread von der Blockchain-Sicherheitsfirma PeckShield am Donnerstag (16. Juni 2022) war der Angriff auf Inverse Finance aufgrund einer Preisorakel-Manipulation möglich. Während PeckShield sagte, der Hacker habe durch den Exploit rund 1.26 Millionen US-Dollar gewonnen, stellte das Unternehmen fest, dass die Verluste von Inverse Finance höher sein könnten.
Der fragliche Angreifer nutzte einen Flash-Darlehen, um das Preisorakel des Protokolls auszunutzen. Flash-Darlehen sind eine spezielle Art der On-Chain-Kreditvergabe im Krypto-Bereich, bei der ein Benutzer Gelder aus einem Kreditpool leihen kann, ohne Sicherheiten zu hinterlegen, das Darlehen jedoch in derselben Transaktion zurückgezahlt werden muss.
Flash-Darlehen werden normalerweise verwendet, um Mittel zu erhalten, um Arbitragemöglichkeiten im dezentralisierten Finanzökosystem zu nutzen. Arbitrage ist, wenn ein Token zwei notierte Preise auf zwei verschiedenen Marktplätzen hat und es Händlern somit ermöglicht, auf einer Plattform günstig zu kaufen und auf einem anderen Marktplatz schnell mit Gewinn zu verkaufen.
Diese Kredite können jedoch von Exploitern böswillig verwendet werden, wie dies in mehreren Fällen der Fall war. Bei solchen Angriffen wird häufig der Vorrat an geliehenen Mitteln verwendet, um den Liquiditätspool der DeFi-Protokolle aus dem Gleichgewicht zu bringen.
On-Chain-Daten zeigen, dass der Exploiter zunächst 27,000 verpackte Bitcoins (wBTC) im Wert von etwa 580 Millionen US-Dollar geliehen hat.
Diese geliehene Summe wurde verwendet, um Preis-Feeds auf dem Protokoll zu manipulieren und das Gleichgewicht der Liquidität der Plattform zu verzerren. Das Ergebnis war, dass der Exploiter 53 BTC und 100,000 Tether (USDT) abziehen konnte, was sich auf insgesamt 1.2 Millionen Dollar belief.
Allerdings ist das Leihprotokoll früher sagte dass die Gelder der Benutzer sicher seien, und fügte hinzu, dass das Protokoll die Kreditaufnahme stoppte, um die Angelegenheit zu untersuchen.
„Inverse hat die Kreditaufnahme nach einem Vorfall heute Morgen, bei dem DOLA von unserem Geldmarkt Frontier entfernt wurde, vorübergehend ausgesetzt. Wir untersuchen den Vorfall, es wurden jedoch keine Benutzergelder entwendet oder waren gefährdet. Wir untersuchen dies und werden bald weitere Einzelheiten bekannt geben.“
Probleme mit Flash-Darlehen von DeFi
Der neueste Exploit kommt zwei Monate, nachdem Hacker Kryptowährungen im Wert von über 15 Millionen US-Dollar von Inverse Finance abgezogen haben. Laut einem Bericht von krypto.newsnutzte der Angreifer eine Schwachstelle im Keep3r-Preisorakel des Protokolls aus, um den Angriff auszuführen.
Unterdessen gab es in letzter Zeit eine Zunahme von Flash-Darlehensangriffen auf DeFi-Protokolle. Beanstalk Farms verlor im April Krypto im Wert von 76 Millionen US-Dollar an Hacker, wobei die Plattform den Angreifern später 10 % der gestohlenen Gelder anbot, wenn sie das Geld zurückgaben.
Agave und Hundred Finance verloren auch Kryptowährung im Wert von 11 Millionen US-Dollar, nachdem Angreifer einen Flash-Kredit-Exploit implementiert hatten. Der Angriff erfolgte 24 Stunden, nachdem Hacker 3 Millionen Dollar in DIA und Ether aus dem DeFi-Protokoll Deus Finance gestohlen hatten.
Später im April wurde Deus Finance erneut ausgenutzt, wobei Hacker stahlen über $ 13 Millionen.
Quelle: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/