Nur zwei Monate nach dem Verlust von 15.6 Millionen US-Dollar durch einen Preismanipulationsexploit wurde Inverse Finance erneut von einem Schaden betroffen Flash-Darlehen Exploit, bei dem die Angreifer 1.26 Millionen US-Dollar in Tether erbeuteten (USDT) und Wrapped Bitcoin (wBTC).
Inverse Finance ist ein Ethereum-basiertes dezentrales Finanzprotokoll (DeFi) und ein Flash-Darlehen ist eine Art Krypto-Darlehen, das normalerweise innerhalb einer einzigen Transaktion ausgeliehen und zurückgegeben wird. Orakel melden externe Preisinformationen.
Der neueste Exploit funktionierte, indem ein Flash-Darlehen verwendet wurde, um das Preisorakel für einen Liquiditätsanbieter (LP)-Token zu manipulieren, der von der Geldmarktanwendung des Protokolls verwendet wird. Dies ermöglichte es dem Angreifer, eine größere Menge der Stablecoin des Protokolls, Dola (DOLA), zu leihen, als die von ihm hinterlegte Sicherheit, wodurch er die Differenz einstreichen konnte.
Der Angriff erfolgt etwas mehr als zwei Monate nach einem ähnlichen Angriff am 2. April ausbeutenDabei manipulierten Angreifer mithilfe eines Preisorakels künstlich die Preise besicherter Token, um mithilfe der überhöhten Preise Gelder abzuschöpfen.
Als Reaktion auf den Angriff stellte Inverse Finance die Kreditaufnahme vorübergehend ein und entfernte DOLA währenddessen vom Geldmarkt untersuchte den Vorfall, dass keine Benutzergelder gefährdet seien.
Inverse hat die Kreditaufnahme nach einem Zwischenfall heute Morgen, bei dem DOLA aus unserem Geldmarkt Frontier entfernt wurde, vorübergehend ausgesetzt. Wir untersuchen den Vorfall, es wurden jedoch weder Benutzergelder abgehoben noch waren sie gefährdet. Wir untersuchen den Sachverhalt und werden in Kürze weitere Einzelheiten bekannt geben.
– Inverse+ (@InverseFinance) 16. Juni 2022
Es später bestätigt dass von dem Vorfall nur die hinterlegten Sicherheiten des Angreifers betroffen waren und sich durch die gestohlene DOLA lediglich eine Schuld bei ihm selbst einging. Es ermutigte den Angreifer, das Geld zurückzugeben als Gegenleistung für ein „großzügiges Kopfgeld“.
Insgesamt gewannen die Angreifer 99,976 USDT und 53.2 wBTC durch den Angriff und tauschten sie gegen ETH aus, bevor sie alles durch den Kryptowährungsmixer Tornado Cash schickten, um die unrechtmäßig erlangten Gewinne zu verschleiern.
Der bisherige Attacke Im April erbeuteten Angreifer Ether im Wert von 15.6 Millionen US-Dollar (ETH), wBTC, Yearn.Finance (YFI) und DOLA.
DeFi-Marktplatz Deus Finance erlitt im März einen ähnlichen Exploit, wobei Angreifer eine Preispaarung innerhalb eines Orakels manipulierten, was zu einem Gewinn von 200,000 Dai führte (DAI) und 1101.8 ETH, damals im Wert von über 3 Millionen US-Dollar.
Beanstalk Farms, ein kreditbasiertes Stablecoin-Protokoll, verlor alle Sicherheiten im Wert von 182 Millionen US-Dollar in einem Flash-Loan-Angriff, der durch zwei böswillige Governance-Vorschläge verursacht wurde, der letztendlich alle Mittel aus dem Protokoll abzog.
Wie der letzte Angriff ablief
Blockchain-Sicherheitsunternehmen BlockSec analysiert dass der Angreifer 27,000 wBTC in einem Schnellkredit geliehen und einen kleinen Betrag in den LP-Token getauscht hat, der zum Hinterlegen von Sicherheiten in Inverse Finance verwendet wird, damit Benutzer Krypto-Assets ausleihen können.
Der verbleibende wBTC war auf USDT umgestellt, was dazu führte, dass der Preis des besicherten LP-Tokens des Angreifers in den Augen des Preisorakels deutlich anstieg. Da der Wert dieser LP-Token aufgrund des Preisanstiegs nun weitaus höher ist, hat sich der Angreifer einen größeren Betrag als üblich vom DOLA-Stablecoin geliehen.
Der Wert der DOLA war viel mehr wert als die hinterlegten Sicherheiten, also tauschte der Angreifer die DOLA gegen USDT, und der frühere wBTC-zu-USDT-Swap wurde rückgängig gemacht, um das ursprüngliche Flash-Darlehen zurückzuzahlen.
Quelle: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack