Inverse Finance mengeksploitasi lagi sebesar $1,2 juta dalam serangan flashloan oracle

Hanya dua bulan setelah kehilangan $15,6 juta dalam eksploitasi manipulasi oracle harga, Inverse Finance sekali lagi dipukul denganpinjaman kilat mengeksploitasi yang melihat penyerang menghasilkan $ 1,26 juta di Tether (USDT ) dan Bitcoin Terbungkus (wBTC).

Inverse Finance adalah protokol keuangan terdesentralisasi (DeFi) berbasis Ethereum dan flash loan adalah jenis pinjaman crypto yang biasanya dipinjam dan dikembalikan dalam satu transaksi. Oracles melaporkan informasi harga luar.

Eksploitasi terbaru bekerja dengan menggunakan flash loan untuk memanipulasi harga oracle untuk token penyedia likuiditas (LP) yang digunakan oleh aplikasi pasar uang protokol. Hal ini memungkinkan penyerang untuk meminjam lebih banyak stablecoin protokol, Dola (DOLA), daripada jumlah jaminan yang mereka posting, membiarkan mereka mengantongi selisihnya.

Serangan itu terjadi lebih dari dua bulan setelah 2 April yang serupamengeksploitasi , yang melihat penyerang secara artifisial memanipulasi harga token yang dijaminkan melalui oracle harga untuk menguras dana menggunakan harga yang meningkat.

Menanggapi serangan tersebut, Inverse Finance untuk sementara menghentikan peminjaman dan menghapus DOLA dari pasar uang saat itumenyelidiki insiden itu , mengatakan tidak ada dana pengguna yang berisiko.

Inverse untuk sementara menghentikan pinjaman menyusul insiden pagi ini di mana DOLA dihapus dari pasar uang kita, Frontier. Kami sedang menyelidiki insiden tersebut, namun tidak ada dana pengguna yang diambil atau berisiko. Kami sedang menyelidiki dan akan segera memberikan rincian lebih lanjut.

— Invers+ (@InverseFinance)16 Juni 2022

Itu nantidikonfirmasi bahwa hanya agunan yang disetorkan penyerang yang terpengaruh dalam insiden tersebut dan hanya menimbulkan hutang pada dirinya sendiri karena DOLA yang dicuri. Diamendorong penyerang untuk mengembalikan dana sebagai imbalan atas "karunia yang murah hati".

Terkait:Penyerang menjarah $5 juta dari Osmosis dalam eksploitasi LP, $2 juta dikembalikan segera setelahnya

Secara total, penyerang memperoleh 99.976 USDT dan 53,2 wBTC dari serangan itu, menukarnya ke ETH sebelum mengirim semuanya melalui mixer cryptocurrency Tornado Cash, mencoba mengaburkan keuntungan yang didapat secara tidak sah.

Sebelumnyamenyerang pada bulan April penyerang mendapatkan $15,6 juta dalam bentuk Ether (ETH ), wBTC, Tahun.Keuangan (YFI ) dan DOL.

Pasar DeFi Deus Financemenderita eksploitasi serupa pada bulan Maret , dengan penyerang memanipulasi pasangan harga dalam oracle yang menghasilkan keuntungan 200.000 Dai (AYO ) dan 1101,8 ETH, bernilai lebih dari $3 juta pada saat itu.

Beanstalk Farms, protokol stablecoin berbasis kredit, kehilangan semua jaminan senilai $182 juta dalam serangan kilat pinjaman yang disebabkan oleh dua proposal tata kelola yang berbahaya, yang pada akhirnya menghabiskan semua dana dari protokol.

Bagaimana serangan terakhir turun

Perusahaan keamanan Blockchain BlockSecdianalisis bahwa penyerang meminjam 27.000 wBTC dalam flash loan, menukar sejumlah kecil ke token LP yang digunakan untuk mengirim agunan di Inverse Finance sehingga pengguna dapat meminjam aset kripto.

WBTC yang tersisa adalahditukar dengan USDT , menyebabkan harga token LP yang diagunkan penyerang naik secara signifikan di mata oracle harga. Dengan nilai token LP ini sekarang jauh lebih berharga karena kenaikan harga, penyerang meminjam jumlah yang lebih besar dari biasanya dari stablecoin DOLA.

Nilai DOLA jauh lebih berharga daripada agunan yang disetorkan, sehingga penyerang menukar DOLA ke USDT, dan pertukaran wBTC ke USDT sebelumnya dibalik untuk membayar pinjaman flash asli.