Ang DeFi Lender Inverse Finance ay pinagsamantalahan para sa $15.6M

Ang Ethereum-based lending protocol na Inverse Finance (INV) ay nagsabi noong Sabado na dumanas ito ng pagsasamantala, kung saan ang isang attacker ay nakakuha ng $15.6 milyon na halaga ng ninakaw na Cryptocurrency.

Ayon sa Inverse, tinarget ng attacker ang Anchor money market nito – artipisyal na pagmamanipula ng mga presyo ng token upang humiram ng mga pautang laban sa napakababang collateral.

Ito ang pangatlong multimillion-dollar na hack ng isang decentralized Finance (DeFi) na protocol upang maging mga headline ngayong linggo, at binibigyang-diin nito ang lalong sopistikadong mga diskarte na ipinapataw ng mga umaatake. Noong Martes ang Ronin Network na nakatuon sa paglalaro inihayag isang pagkawala ng higit sa $625 milyon sa Crypto. Pagkalipas ng dalawang araw, ang protocol sa pagpapahiram ng Ola Finance sabi ito ay pinagsamantalahan para sa $3.6 milyon.

Ayon sa blockchain security firm PeckShield, sinamantala ng Inverse attacker ang isang kahinaan sa a Keep3r price oracle Inverse na ginagamit upang subaybayan ang mga presyo ng token. Nilinlang ng attacker ang oracle sa pag-iisip na ang presyo ng Inverse's INV token ay napakataas, at pagkatapos ay kumuha ng multimillion-dollar na pautang sa Anchor gamit ang napalaki na INV bilang collateral.

Ang pag-atake ay kapansin-pansing mahusay na pinondohan; para maalis ito, inalis muna ng umaatake ang 901 ETH (mga $3 milyon) mula sa Buhawi Cash, na ginagamit para i-disburse ang Crypto nang hindi nag-iiwan ng malinaw na trail. Pagkatapos ay iniksyon ng attacker ang mga misteryong pondo sa ilang mga pares ng kalakalan sa desentralisadong palitan Sushiswap – pagpapalaki ng presyo ng INV sa mata ng Oracle ng presyo ng Keep3r.

Sa sapat na mataas na presyo ng INV, kumuha ang attacker ng mga pautang na sinusuportahan ng INV sa Anchor bago ibinalik ng mga arbitrageur ang presyo ng INV sa normal na antas.

Ang isang kinatawan mula sa PeckShield ay nagsabi sa CoinDesk na ang pag-atake ay mataas ang panganib dahil ang $3 milyon na halaga ng Crypto na ginamit upang linlangin ang presyo ng oracle ay ganap na nawala kung ang presyo ng INV ay bumalik sa normal na antas bago ang umaatake ay kumuha ng mga pautang.

Sa kabuuan, nagawang tumakas ng attacker na may 1,588 ETH, 94 WBTC, 39 YFI at 3,999,669 DOLA. Ibinalik ng attacker ang karamihan sa mga pondo pabalik sa pamamagitan ng Tornado Cash – ibig sabihin ay mahirap malaman kung saan mapupunta ang mga pondo – ngunit 73.5 ETH (mga $250,000) ang nananatili sa orihinal ng attacker wallet ng Ethereum.

Sinabi ng Inverse sa anunsyo nito na pansamantalang itinigil nito ang lahat ng paghiram sa Anchor, at sinabi ng isang kinatawan para sa protocol sa CoinDesk na nakikipagtulungan ito sa Chainlink upang bumuo ng isang bagong oracle ng INV.

Inihayag din ng Inverse na plano nitong gumawa ng panukala sa decentralized autonomous organization (DAO) nito upang "siguraduhin na ang lahat ng wallet na naapektuhan ng pagmamanipula ng presyo ay nababayaran ng 100%," kahit na hindi nagbibigay ng karagdagang mga detalye.