Bare to måneder etter å ha tapt 15.6 millioner dollar i en pris-orakelmanipulasjonsutnyttelse, har Inverse Finance igjen blitt rammet av en flash-lån utnyttelse som fikk angriperne til å klare seg med 1.26 millioner dollar i Tether (USDT) og Wrapped Bitcoin (wBTC).
Inverse Finance er en Ethereum-basert desentralisert finans (DeFi) protokoll og et flashlån er en type kryptolån som vanligvis lånes og returneres i en enkelt transaksjon. Oracles rapporterer ekstern prisinformasjon.
Den siste utnyttelsen fungerte ved å bruke et flashlån for å manipulere prisoraklet for en likviditetsleverandør (LP)-token brukt av protokollens pengemarkedsapplikasjon. Dette gjorde det mulig for angriperen å låne en større mengde av protokollens stablecoin, Dola (DOLA), enn mengden sikkerhet de stilte, slik at de fikk forskjellen.
Angrepet kommer drøyt to måneder etter en lignende 2. april utnytte, som så angripere kunstig manipulere tokenpriser med sikkerhet gjennom et prisorakel for å tappe penger ved å bruke de oppblåste prisene.
Som svar på angrepet stoppet Inverse Finance midlertidig låneopptaket og fjernet DOLA fra pengemarkedet mens det undersøkte hendelsen, og sa at ingen brukermidler var i fare.
Inverse har midlertidig stoppet lånene etter en hendelse i morges der DOLA ble fjernet fra pengemarkedet vårt, Frontier. Vi etterforsker hendelsen, men ingen brukermidler ble tatt eller var i fare. Vi undersøker og vil gi flere detaljer snart.
— Inverse+ (@InverseFinance) Juni 16, 2022
Det senere bekreftet at kun angriperens deponerte sikkerhet ble berørt i hendelsen og kun pådro seg en gjeld til seg selv på grunn av den stjålne DOLA. Den oppfordret angriperen til å returnere midlene til gjengjeld for en «generøs dusør».
Relatert: Angripere plyndrer $5 millioner fra Osmosis i LP-utnyttelse, $2 millioner returnerte like etter
Totalt fikk angriperne 99,976 53.2 USDT og XNUMX wBTC fra angrepet, og byttet dem til ETH før de sendte alt gjennom kryptovalutamikseren Tornado Cash, og forsøkte å tilsløre de dårlige gevinstene.
Den forrige angripe i april så angripere unna med 15.6 millioner dollar i Ether (ETH), wBTC, Yearn.Finance (YFI) og DOLA.
DeFi markedsplass Deus Finance led av en lignende utnyttelse i mars, med angripere som manipulerer en prissammenkobling i et orakel som fører til en gevinst på 200,000 XNUMX Dai (DAI) og 1101.8 ETH, verdt over 3 millioner dollar på den tiden.
Beanstalk Farms, en kredittbasert stablecoin-protokoll, mistet all sikkerhet verdt 182 millioner dollar i et lynlånsangrep forårsaket av to ondsinnede styringsforslag, som til slutt tappet alle midler fra protokollen.
Hvordan det siste angrepet gikk ned
Blockchain-sikkerhetsfirmaet BlockSec analysert at angriperen lånte 27,000 XNUMX wBTC i et flashlån, og byttet et lite beløp til LP-tokenet som ble brukt til å stille sikkerhet i Inverse Finance slik at brukere kan låne kryptoaktiva.
Den gjenværende wBTC var byttet til USDT, noe som får prisen på angriperens LP-token til å stige betydelig i prisoraklets øyne. Med verdien av disse LP-tokenene nå verdt langt mer på grunn av prisstigningen, lånte angriperen et større beløp enn vanlig av DOLA stablecoin.
Verdien av DOLA var verdt mye mer enn den deponerte sikkerheten, så angriperen byttet DOLA til USDT, og den tidligere byttet mellom wBTC og USDT ble reversert for å tilbakebetale det opprinnelige flashlånet.
Kilde: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack