Inverse Finance არის DeFi ექსპლოიტის უახლესი მსხვერპლი, რამაც გამოიწვია $15 მილიონზე მეტი დანაკარგი. პეჩშილდი გამოვლინდა ამ შაბათ-კვირას. ბლოკჩეინის უსაფრთხოების ფირმამ გამოაქვეყნა ტვიტი, რომელშიც უბრალოდ ნათქვამია: „გამარჯობა, @InverseFinance, შეიძლება გსურს გადახედო“, რომელიც დაკავშირებულია ტრანზაქციასთან Etherscan.
კრიპტოს რეცხვა Tornado Cash-ის მეშვეობით
ბოლო რამდენიმე საათის განმავლობაში, ექსპლუატატორმა გაუგზავნა ასობით Ethereum ტრანზაქცია Tornado Cash-ში. Tornado Cash არის სტანდარტული ინსტრუმენტი ჰაკერებსა და ექსპლუატატორებს შორის, რომ მცდელობდნენ დაბინდვა მათი გარიგების ისტორია. მათ აღწერს მათი სერვისი, როგორც ინსტრუმენტი, რომელიც „აუმჯობესებს ტრანზაქციის კონფიდენციალურობას წყაროსა და დანიშნულების მისამართებს შორის არსებული ჯაჭვის კავშირის გაწყვეტით. ის იყენებს ჭკვიან კონტრაქტს, რომელიც იღებს ETH დეპოზიტებს, რომელთა ამოღებაც სხვა მისამართს შეუძლია“.
მომხმარებლები ქმნიან შემთხვევით გასაღებს და დეპონირებენ ETH შენიშვნასთან ერთად. ამის შემდეგ მომხმარებელი ადასტურებს სხვა საფულედან შენიშვნის გასაღების მტკიცებულებას ETH-ის ამოღების მიზნით, რითაც არღვევს ტრანზაქციის ჯაჭვს, რომ „მხოლოდ მომხმარებელს, რომელსაც აქვს ნოტა, შეუძლია დააკავშიროს დეპოზიტი და გატანა“.
ექსპლოიტი მოიცავდა TWAP ორაკულს, რომელიც მოითხოვს დაბალი ლიკვიდობის მქონე DeFi პროექტის მართვის ნიშნის ფასის მანიპულირებას. TWAP ნიშნავს Time Weighted Average Price და „აშენებულია კუმულაციური ფასის წაკითხვით ERC20 ნიშნის წყვილიდან სასურველი ინტერვალის დასაწყისში და ბოლოს. ამ კუმულატიურ ფასში სხვაობა შეიძლება დაიყოს ინტერვალის სიგრძეზე, რათა შეიქმნას TWAP ამ პერიოდისთვის. ექსპლოიტის დეტალური ახსნა ხელმისაწვდომია Chainlink საზოგადოების ელჩის მიერ შექმნილი თემის საშუალებით, ChainLinkGod.
კიდევ ერთი დღე, კიდევ ერთი TWAP ორაკული მანიპულაცია
შენიშვნები:
1. TWAP დროის ნიმუში ძალიან მოკლე იყო
2. DEX ლიკვიდობა მნიშვნელოვნად უფრო თხელია, ვიდრე CEX ლიკვიდობა
3. თავდამსხმელის მიერ მოხსნილი ჯაჭვის არბირების შესაძლებლობები
4. CEX-DEX arb არ მოხდა
5. ბაზრის ფასზე ისეთივე გავლენა არ არის, როგორც DEX ფასზე https://t.co/qSgpzAKGxS- ChainLinkGod.eth (@ChainLinkGod) აპრილი 2, 2022
საპირისპირო ფინანსების პასუხი
Inverse Finance აიღო Twitter სივრცეები დღეს საღამოს ექსპლოიტის მოვლენებზე საუბარი. მასში ისინი განმარტავენ, თუ როგორ გადის ყველა გადაწყვეტილება DAO-ს ჯაჭვური მმართველობით. ამრიგად, ჩნდება კითხვა, იძლევა თუ არა ეს საშუალებას სწრაფად გადაწყვეტილების მიღებას ასეთი კრიზისების დროს. გუნდი უკიდურესად მშვიდი და თავმოყრილი გამოჩნდა Twitter-ის სივრცეში, სადაც აღწერილი იყო ორაკულის მანიპულირება ძალიან ფაქტობრივად. ისინი „არბიტრაჟის არაეფექტურობას“ ადანაშაულებენ, რადგან ექსპლუატატორმა გამოიყენა 500,000 15 დოლარის გირაო წუთებში XNUMX მილიონი დოლარის მოსაპარად.
DAO-მ ახლა გაააქტიურა Guardian-ის წესი Anchor-ზე, რათა თავიდან აიცილოს მომავალი სესხები ექსპლოიტის დროს გამოყენებული პროტოკოლით. ეს მიზნად ისახავს „შეამსუბუქოს მსგავსი სახის მომავალი თავდასხმები“. შემდეგ ისინი განმარტავენ, თუ როგორ აძლევენ მათ საშუალებას, რომ მათი „სამაგრი დაცვა“ სწრაფად აღადგინონ საბაზრო მიმაგრება და წახალისება, რომელიც გამოიყენეს ექსპლოიტის შემდგომ. Twitter Space გრძელდება კიდევ 30 წუთი და განმარტავს Inverse Finance-ის სხვა მახასიათებლებს პროექტის მიმართ ნდობის აღდგენის მოწოდებაში.
ექსპლოიტები არ არის ჰაკები.
აქ მნიშვნელოვანია აღინიშნოს, რომ ამ ქმედებაზე პასუხისმგებელი პირი არ არის ჰაკერი, როგორც ზოგიერთმა შეიძლება აცნობოს. ბევრი სტატიები ამჟამად იკითხეთ: „თუ DeFi ასეთი კარგია, რატომ ხდება მისი გატეხვა? პასუხი არის ის, რომ ექსპლოიტების უმეტესობა არ არის ჰაკი. ამ ბოლო ინციდენტის დროს არცერთი კოდი ან უსაფრთხოების ნებართვა არ გატეხილია. ამის ნაცვლად, ინდივიდმა ისარგებლა დეველოპერების ზედამხედველობით.
DeFi მოიცავს ბევრ მოძრავ ნაწილს, რომლებიც ხუთ წელზე ნაკლებია. ასეთი პროექტების აღფრთოვანება საკმარისად მაღალია, რომ ინვესტორები მზად არიან შეიტანონ თანხები დაუდასტურებელ პროექტებში იმ იმედით, რომ ისარგებლონ დიდი მოგებით.
Inverse Finance-ის მმართველობის ნიშანი, INV, ჩვეულებრივ აქვს ყოველდღიური საშუალო მოცულობა დაახლოებით $900,000 საბაზრო კაპიტალით $31 მილიონი. მოცულობა დღეს 5000%-ით გაიზარდა ექსპლოიტის და TVL-ის გამო პროექტი ამჟამად დაახლოებით 27 მილიონი დოლარია. ეს რიცხვები დაბალია კრიპტო სამყაროსთვის, მაგრამ, სინამდვილეში, ეს ის რაოდენობაა, რომელიც ცვლის ადამიანთა უმეტესობას მთელს მსოფლიოში. ექსპლოიტის განხორციელებას დასჭირდა $500,000, რამაც გამოიწვია "თავდამსხმელის" 2,900% ზრდა.
Tornado Cash-ის მეშვეობით ფულის გარეცხვით, DeFi-ის სასარგებლოდ არგუმენტი, რომ ყველა ტრანზაქცია მიკვლევადია, გაცილებით სუსტდება. ერთადერთი გზა, მე ვხედავ, არის ფულის გაყოლა. ექსპლუატატორმა გაგზავნა ETH 100, 10 და 1 ნომინალში. ამრიგად, ამ შემთხვევაში, მის თვალყურის დევნება მოითხოვს ტორნადო ქეშ-დან ამ თანხების ყოველი გატანის თვალყურის დევნებას უახლოეს მომავალში. ამოცანა, რომელიც არ არის შესასრულებელი. ამის მიღწევაც რომ შეიძლებოდა, უკანონო არაფერი ჩაუდენიათ. გამოყენების პირობების წინააღმდეგ? Უფრო მეტად სავარაუდოა. საეჭვოა ეთიკური? რა თქმა უნდა, მაგრამ, როგორც ვიცით, DeFi-ის რეგულირება განვითარებადი სფეროა და ეს ინციდენტი მოხდა ვიღაცის მიერ, რომელიც ახორციელებს სრულიად ლეგალურ ვაჭრობას საჯარო ბლოკჩეინზე.
DeFi არის სამუშაო პროცესი. ის ხაზს უსვამს უკეთესი პრაქტიკის და გაზრდილი ტესტირების საჭიროებას web3-ის განვითარებაში. ვიმედოვნებთ, რომ საზოგადოების ნდობა არ გაფუჭდება DeFi-ს ექსპლოიტების თითქმის ყოველდღიური ანგარიშებით.
წყარო: https://cryptoslate.com/washing-crypto-is-a-problem-as-exploiter-gets-away-with-15-million/