Inverse Finance den 16. juni led en anden angribe, med en orakelprismanipulationsudnyttelse, der tillader en hacker at stjæle omkring $1.3 millioner og resulterer i et tab på $5.8 millioner for protokollen.
Blockchain-sikkerhedsfirmaet PeckShield afslørede detaljerne om hændelsen i en række tweets.
4/ Den oprindelige fond (1 ETH) for at starte hacket trækkes tilbage fra @TornadoCash. I øjeblikket forbliver 68 ETH'er af de ulovlige gevinster stadig på hackerens konto https://t.co/lEA5jmsGXZ… og 1000 ETH'er er blevet deponeret til @TornadoCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) 16. Juni, 2022
Dette nylige angreb gør det til det andet angreb på DeFi-protokollen i løbet af to måneder. Tidligere i april led Inverse Finance et angreb, der førte til tabet på 15.6 millioner dollars.
Udnyttelsen
En omfattende indberette af angrebet blev senere offentliggjort på Inverse Finances hjemmeside.
Rapporten forklarer, at udnyttelsen skete på yvcrv3crypto-markedet, som brugte Chainlink-prisdata i stedet for Curve-protokollens interne valutakurs.
Inverse Finance sagde, at prisforskellen tillod hackeren at tage et flashlån på 27,000 Wrapped Bitcoin (wBTC) - en modificeret version af Bitcoin, som er lige i pris, men kan bruges på Ethereum (ETH) netværk.
Angriberen handlede derefter wBTC ind i tricrypto-puljen, hvilket førte til en stigning i prisen på yvcrv3crypto LP-tokenet på prisoraklet og tillod hackeren at låne DOLA – Inverse FINances stablecoin – mod denne sikkerhed på Inverse FINances Frontier-platform.
PeckShield, ved hjælp af Etherscan-data, sagde i et tweet, at 68 ETH fra det stjålne beløb stadig er hos hackeren, og 1,000 ETH er blevet deponeret til Tornado Cash, en cryptocurrency-mixer, der blander forskellige strømme af potentielt identificerbar cryptocurrency for at øge anonymiteten og gøre transaktioner sværere at spore.
Inverse FINance' sagde, at ingen brugerdeponeret sikkerhed var påvirket af hacket, men bemærkede, at Frontier Fed, Inverse Finance DAO pådrog sig $5.8 millioner i dårlig DOLA-gæld. Dette er i tillæg til den omkring 3.8 millioner dollars DOLA-gæld, der blev pådraget i april-hacket.
DeFi-protokollen tilføjede, at da ingen individuelle brugere var direkte påvirket af hændelsen, kræves der ingen ændringer i dens plan for de brugere, der er berørt af hændelsen i april.
Inverse Finance lover en række handlinger
Inverse FINance detaljerede en række sikkerhedsforanstaltninger, som inkluderer planer om at inddrive midlerne og sikre yderligere sikkerhed på DeFi-platformen.
Dette inkluderede en åben appel til hackeren om at returnere midlerne til "en generøs dusør." Derudover lovede DAO at stille data om angrebet til rådighed for alle, der er villige til at hjælpe med at inddrive midlerne mod en belønning.
Inverse FINance oplyste, at det erhvervede tjenesterne fra RiskDAO, et hold af sikkerhedseksperter, for at undersøge angrebet og også ansætte yderligere sikkerhedsoperationspersonale.
Endelig har Inverse FINance sat lån på alle aktiver på Frontier-platformen på pause, men forventer, at lån mod aktiver med kun Chainlink-feeds samt INV genoptages inden længe.
Kilde: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/