Inverse Finance erlitt am 16. Juni einen weiteren Attacke, mit einem Orakelpreismanipulations-Exploit, der es einem Hacker ermöglichte, etwa 1.3 Millionen US-Dollar zu stehlen, was zu einem Verlust von 5.8 Millionen US-Dollar für das Protokoll führte.
Das Blockchain-Sicherheitsunternehmen PeckShield enthüllte die Details des Vorfalls in einer Reihe von Tweets.
4/ Der Anfangsfonds (1 ETH) zum Starten des Hacks wird abgezogen @ TornadoCash. Derzeit verbleiben noch 68 ETHs der illegalen Gewinne auf dem Konto des Hackers https://t.co/lEA5jmsGXZ… und 1000 ETHs wurden eingezahlt @ TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) 16. Juni 2022
Dieser jüngste Angriff ist der zweite Angriff auf das DeFi-Protokoll innerhalb von zwei Monaten. Anfang April erlitt Inverse Finance einen Angriff, der zu einem Verlust von 15.6 Millionen US-Dollar führte.
Der Exploit
Eine umfassende berichten des Angriffs wurde später auf der Website von Inverse Finance veröffentlicht.
Der Bericht erklärt, dass der Exploit auf dem yvcrv3crypto-Markt stattfand, der Chainlink-Preisdaten anstelle des internen Wechselkurses des Curve-Protokolls verwendete.
Inverse Finance sagte, dass die Preisabweichung es dem Hacker ermöglichte, einen Flash-Kredit von 27,000 Wrapped Bitcoin (wBTC) aufzunehmen – eine modifizierte Version von Bitcoin, das im Preis gleich ist, aber auf Ethereum verwendet werden kann (ETH) Netzwerk.
Der Angreifer tauschte die wBTC dann in den Tricrypto-Pool, was zu einem Anstieg des Preises des yvcrv3crypto-LP-Tokens auf dem Preisorakel führte und es dem Hacker ermöglichte, DOLA – den Stablecoin von Inverse FInance – gegen diese Sicherheit auf der Frontier-Plattform von Inverse FInance zu leihen.
PeckShield, das Etherscan-Daten verwendet, sagte in einem Tweet, dass 68 ETH des gestohlenen Betrags immer noch beim Hacker sind und 1,000 ETH bei Tornado Cash hinterlegt wurden, einem Kryptowährungsmixer, der verschiedene Ströme potenziell identifizierbarer Kryptowährung mischt, um die Anonymität zu erhöhen und Transaktionen zu erschweren verfolgen.
Inverse FInance' sagte, dass keine vom Benutzer hinterlegten Sicherheiten von dem Hack betroffen waren, stellte jedoch fest, dass die Frontier Fed, Inverse Finance DAO, 5.8 Millionen Dollar an uneinbringlichen DOLA-Schulden erlitten hatte. Dies kommt zu den rund 3.8 Millionen US-Dollar DOLA-Schulden hinzu, die im April-Hack entstanden sind.
Das DeFi-Protokoll fügte hinzu, dass, da keine einzelnen Benutzer direkt von dem Vorfall betroffen waren, keine Änderungen an seinem Wiedergutmachungsplan für die vom Vorfall im April betroffenen Benutzer erforderlich seien.
Inverse Finance verspricht eine Reihe von Aktionen
Inverse FInance erläuterte eine Reihe von Sicherheitsmaßnahmen, darunter Pläne zur Rückforderung der Gelder und zur Gewährleistung zusätzlicher Sicherheit auf der DeFi-Plattform.
Dazu gehörte ein offener Appell an den Hacker, die Gelder für „ein großzügiges Kopfgeld“ zurückzugeben. Darüber hinaus versprach die DAO, Daten des Angriffs jedem zur Verfügung zu stellen, der bereit ist, bei der Rückforderung der Gelder gegen eine Belohnung zu helfen.
Inverse FInance gab an, die Dienste von RiskDAO, einem Team von Sicherheitsexperten, erworben zu haben, um den Angriff zu untersuchen, und stellt außerdem zusätzliches Sicherheitspersonal ein.
Schließlich hat Inverse FInance die Kreditaufnahme für alle Vermögenswerte auf der Frontier-Plattform ausgesetzt, erwartet jedoch, dass die Kreditaufnahme für Vermögenswerte mit Nur-Chainlink-Feeds sowie INV in Kürze wieder aufgenommen wird.
Quelle: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/