სულ რაღაც ორი თვის შემდეგ, რაც $15.6 მილიონი დაკარგა ფასის ორაკულის მანიპულირების ექსპლოიტში, Inverse Finance კვლავ დაზარალდა. ფლეშ სესხი ექსპლუატაცია, რომლის შედეგადაც თავდამსხმელები 1.26 მილიონი დოლარით გამოირჩეოდნენ Tether-ში (USDT) და შეფუთული ბიტკოინი (wBTC).
Inverse Finance არის Ethereum-ზე დაფუძნებული დეცენტრალიზებული საფინანსო პროტოკოლი (DeFi) და ფლეშ სესხი არის კრიპტო სესხის სახეობა, რომელიც ჩვეულებრივ არის ნასესხები და ბრუნდება ერთი ტრანზაქციის ფარგლებში. Oracles ავრცელებს გარე ფასების ინფორმაციას.
უახლესი ექსპლოიტი მუშაობდა ფლეშ სესხის გამოყენებით ლიკვიდურობის პროვაიდერის (LP) ტოკენის ფასის ორაკლის მანიპულირებისთვის, რომელიც გამოიყენება პროტოკოლის ფულის ბაზრის აპლიკაციაში. ეს საშუალებას აძლევდა თავდამსხმელს ისესხებოდა პროტოკოლის სტაბილკოინის, Dola (DOLA) უფრო დიდი რაოდენობა, ვიდრე მათ მიერ გამოქვეყნებული გირაოს ოდენობა, რაც მათ საშუალებას აძლევდა ჯიბეში გაეტანათ სხვაობა.
თავდასხმა მოხდა მსგავსი 2 აპრილიდან სულ რაღაც ორი თვის შემდეგ გამოყენებისათვის, რომელიც ხედავდა თავდამსხმელებს ხელოვნურად მანიპულირებდნენ გირაო ტოკენის ფასებზე ფასების ორაკლის მეშვეობით, რათა თანხები ამოეწურათ გაბერილი ფასების გამოყენებით.
თავდასხმის საპასუხოდ, Inverse Finance-მა დროებით შეაჩერა სესხის აღება და ამოიღო DOLA ფულის ბაზრიდან, სანამ ის მომხდარი გამოიძია, ამბობს, რომ მომხმარებლის სახსრები არ იყო რისკის ქვეშ.
Inverse-მა დროებით შეაჩერა სესხები ამ დილით მომხდარი ინციდენტის შემდეგ, როდესაც DOLA ამოიღეს ჩვენი ფულის ბაზრიდან, Frontier. ჩვენ ვიძიებთ ინციდენტს, თუმცა მომხმარებლის სახსრები არ იქნა აღებული ან რისკის ქვეშ. ჩვენ გამოძიებას ვაწარმოებთ და დამატებით დეტალებს მალე მოგაწვდით.
— Inverse+ (@InverseFinance) ივნისი 16, 2022
ეს მოგვიანებით დაადასტურა რომ შემთხვევის დროს მხოლოდ თავდამსხმელის დეპონირებული გირაო დაზარალდა და მხოლოდ საკუთარ თავზე აიღო ვალი მოპარული DOLA-ს გამო. ის წაახალისა თავდამსხმელი, დაებრუნებინა თანხები „კეთილშობილი სიკეთის“ სანაცვლოდ.
ამავე თემაზე: თავდამსხმელებმა გაძარცვეს 5 მილიონი დოლარი Osmosis-დან LP ექსპლოიტის დროს, 2 მილიონი დოლარი მალევე დაბრუნდა
მთლიანობაში, თავდამსხმელებმა მიიღეს 99,976 USDT და 53.2 wBTC შეტევისგან, გადაცვალეს ისინი ETH-ში, სანამ ეს ყველაფერი გაგზავნეს კრიპტოვალუტის მიქსერის Tornado Cash-ის საშუალებით, ცდილობდნენ უკანონოდ მიღებული მოგების დაბნელებას.
წინა თავდასხმა აპრილში თავდამსხმელებმა ეთერში 15.6 მილიონი დოლარი გამოიმუშავეს (ETH), wBTC, Yearn.Finance (და FI) და დოლა.
DeFi ბაზარი Deus Finance მსგავსი ექსპლუატაცია მარტში განიცადა, როდესაც თავდამსხმელები მანიპულირებენ ფასის დაწყვილებაზე ორაკულში, რაც იწვევს 200,000 დეის მოგებას (DAI) და 1101.8 ETH, იმ დროისთვის 3 მილიონ დოლარზე მეტი ღირებულების.
Beanstalk Farms, კრედიტზე დაფუძნებული stablecoin პროტოკოლი, დაკარგა 182 მილიონი დოლარის მთელი გირაო სასესხო შეტევაში, რომელიც გამოწვეული იყო მმართველობის ორი მავნე წინადადებით, რამაც საბოლოოდ ამოიღო პროტოკოლიდან ყველა თანხა.
როგორ მოხდა ბოლო თავდასხმა
ბლოკჩეინის უსაფრთხოების ფირმა BlockSec გაანალიზებულია რომ თავდამსხმელმა ისესხა 27,000 wBTC სწრაფი სესხის სახით, მცირე ოდენობის ჩანაცვლება LP ტოკენში, რომელიც გამოიყენება გირაოს განთავსებისთვის Inverse Finance-ში, რათა მომხმარებლებს შეეძლოთ კრიპტო აქტივების სესხება.
დარჩენილი wBTC იყო გაცვალეს USDT-ში, რამაც გამოიწვია თავდამსხმელის გირაო LP ტოკენის ფასი ფასის ორაკლის თვალში მნიშვნელოვნად გაზრდილი. იმის გამო, რომ ამ LP ტოკენების ღირებულება ახლა გაცილებით მეტია ფასის ზრდის გამო, თავდამსხმელმა ისესხა უფრო დიდი თანხა, ვიდრე ჩვეულებრივ DOLA stablecoin-ს.
DOLA-ს ღირებულება გაცილებით მეტი ღირდა, ვიდრე დეპონირებული გირაო, ასე რომ, თავდამსხმელმა შეცვალა DOLA USDT-ით და ადრინდელი wBTC USDT-ის სვოპ შეცვალა თავდაპირველი ფლეშ სესხის დასაფარად.
წყარო: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack