Ethereum-baseret open source-protokol Inverse Finance led endnu et hack, som førte til tab af over $1.2 millioner i kryptovalutaer. Udnyttelsen er platformens andet angreb på to måneder.
Omvendt finansiering udnyttet igen
I en tweet tråd af blockchain-sikkerhedsfirmaet PeckShield torsdag (16. juni 2022) var angrebet på Inverse Finance muligt på grund af en kursorakelmanipulation. Mens PeckShield sagde, at hackeren fik omkring 1.26 millioner dollars på udnyttelsen, bemærkede firmaet, at Inverse Finances tab kunne være højere.
Den pågældende angriber brugte et flashlån til at udnytte protokollens prisorakel. Flashlån er en speciel form for on-chain udlån i kryptorummet, hvor en bruger kan låne penge fra en udlånspulje uden at stille sikkerhed, men lånet skal tilbagebetales i samme transaktion.
Flash-lån bruges normalt til at skaffe midler til at drage fordel af arbitragemuligheder i det decentraliserede finansøkosystem. Arbitrage er, når et token har to noterede priser på to forskellige markedspladser og dermed giver handlende mulighed for at købe billigt på én platform og hurtigt sælge med fortjeneste på en anden markedsplads.
Disse lån kan dog blive brugt til ondsindet brug af udnyttere, som det har været tilfældet i flere tilfælde. Sådanne angreb involverer ofte brug af de lånte midler til at ubalancere likviditetspuljen på DeFi-protokoller.
On-chain data viser, at udnytteren først lånte 27,000 indpakkede bitcoin (wBTC) til en værdi af omkring $580 millioner.
Denne lånte sum blev brugt til at manipulere prisfeeds på protokollen, hvilket skævvrider balancen i platformens likviditet. Det efterfølgende resultat var, at udnytteren var i stand til at dræne 53 BTC og 100,000 tether (USDT), hvilket beløb sig til i alt $1.2 millioner.
Dog udlånsprotokollen tidligere sagde at brugernes midler var sikre, og tilføjede, at protokollen stoppede låntagningen for at undersøge sagen.
"Inverse har midlertidigt sat låneoptagelsen på pause efter en hændelse her til morgen, hvor DOLA blev fjernet fra vores pengemarked, Frontier. Vi er ved at undersøge hændelsen, men ingen brugermidler blev taget eller var i fare. Vi undersøger sagen og vil snart give flere detaljer."
DeFis problemer med Flash-lån
Den seneste udnyttelse kommer to måneder efter, at hackere drænede over 15 millioner dollars i kryptovaluta fra Inverse Finance. Ifølge en rapport fra crypto.news, udnyttede angriberen en sårbarhed i protokollens Keep3r-prisorakel til at udføre angrebet.
I mellemtiden har der været en stigning i flashlånsangreb på DeFi-protokoller i den seneste tid. Beanstalk Farms mistede 76 millioner dollars i krypto til hackere i april, hvor platformen senere tilbød 10 % af de stjålne midler til angriberne, hvis de returnerede pengene.
Agave and Hundred Finance mistede også kryptovaluta til en værdi af 11 millioner dollars, efter at angriberne implementerede en flash-lånsudnyttelse. Angrebet skete 24 timer efter, at hackere stjal 3 millioner dollars i DIA og Ether fra DeFi-protokollen Deus Finance.
Senere i april blev Deus Finance igen udnyttet, hvor hackere stjal over $ 13 millioner.
Kilde: https://crypto.news/defi-protocol-inverse-finance-1-2-million-flash-loan/