Ifølge en tweet af DeFi analytiske firma PeckShield, decentraliseret derivatprotokol Deus Finance led en udnyttelse den 28. april 2022. Blockchain-sikkerhedsudbyderen bemærkede, at angriberen formåede at manipulere et prisorakel for flashlån på Deus DAO.
Fremkomsten og stigningen af flashlånsangreb
"Hacket er gjort muligt på grund af den flashlån-assisterede manipulation af prisoraklet, der lyder fra StableV1 AMM - USDC/DEI-parret. Den manipulerede pris på sikkerhedsstillelse DEI bruges derefter til at låne og dræne puljen,” forklarede PeckShield.
Udnyttelsen gjorde det muligt for den ondsindede skuespiller at hente over 13.4 millioner dollars fra udlånsprotokollens likviditetspulje på Fantom Network. Det samlede tab til Deus-protokollen kan dog være meget højere, ifølge det sikkerhedsfokuserede firma CertiK.
I en tweet offentliggjort torsdag morgen, bekræftede CertiK, at der var sket et flashlån på Deus-platformen, men anslåede, at angriberen havde tjent omkring 16.84 millioner dollars i overskud.
Hacker overfører stjålne midler til Crypto Mixer
Den ukendte angriber var i stand til at narre Deus smarte kontrakters evne til at fortolke prisorakeldata, hvilket gjorde det muligt for ham at manipulere værdien af sikkerhedsstillelse DEI. DEI er DeFi-protokollens fraktionelle reserve stablecoin knyttet til den amerikanske dollarværdi.
Ved at bruge den for høje pris brugte hackeren sikkerhed til at låne store summer krypto som et flashlån og dræne puljen. Kort efter at have sikret sit bytte på cirka 5446 ETH, flyttede angriberen penge fra sin tegnebog til Tornado Cash, et populært møntmixerværktøj.
I skrivende stund har tegnebogens adresse, der er knyttet til Deus-udvinderen, en saldo på kun $132, da de fleste af de stjålne midler allerede er blevet ført ind i Tornado Cash-privatlivsløsningen.
Deus-økosystemet raser i kølvandet på den ødelæggende udnyttelse i de tidlige asiatiske timer torsdag. Udnyttelsen har sendt prisen på DEI ned med 16.5 % i løbet af de sidste 24 timer, pr. data fra CoinGecko. Størstedelen af tabene kom efter, at blockchain-sikkerhedsfirmaer offentliggjorde detaljerne om flashlånsangrebet.
Deus Finance Developers Suspender DEI-udlån
Deus-udviklerteamet har bevæget sig hurtigt for at dæmpe panik blandt brugere efter torsdagens ødelæggende hack på netværket. I en tweet offentliggjort torsdag morgen, forsikrede projektstøtterne investorer om, at den bilaterale OTC-derivatplatform nu er sikker.
Holdet bekræftede, at brugermidler var sikre og gentog, at ingen investorer blev likvideret. De forklarede yderligere, at DEI's 1:1-binding til den amerikanske dollar blev genoprettet, men informerede markedsdeltagerne om, at udlån af stablecoin var blevet midlertidigt standset.
Desværre er det seneste hack på Deus Finance ikke det første. I sidste måned blev DeFi-markedspladsen infiltreret af angribere, der brugte den samme flashlånangrebsvektor. Som rapporteret af crypto.news så malware-udnyttelsen cyberkriminelle til at gå væk med omkring $3 millioner i ETH- og DAI-mønter.
Efter bruddet den 15. marts annoncerede Deus Finance DAO nedlukningen af DEI-lånekontrakten. Den administrerende direktør for Deus-protokollen, Lafayette Tabor, udlagde derefter en refusionsplan som gjorde det muligt for berørte brugere at tilbagebetale deres lån og tilbagekræve likviderede midler.
Kilde: https://crypto.news/deus-finance-new-flashloan-attack-13m/