Comment Deus Finance a été exploité pour 13,4 millions de dollars sur Fantom

Finance décentralisée L'application (DeFi) Deus Finance a été exploitée pour la deuxième fois en deux mois, l'attaquant gagnant plus de 13,4 millions de dollars de Cryptomonnaie aux premières heures asiatiques aujourd'hui, selon les chercheurs en sécurité de PeckShield. a déclaré dans un tweetL'exploit s'est produit sur le réseau Fantom .

• Deus permet aux développeurs de créer des services financiers tels que le trading de contrats à terme, les prêts et les options sur sa plateforme. (Déclaration de transparence: L'auteur de ce rapport est un fournisseur de liquidités pour Deus sur Ethereum, Fantom et BNB Chain.)
• L'attaquant a utilisé unprêt flashpour tromper la façon dont les contrats intelligents de Deus lisaient les données des pools de liquidités de la plateforme. Cela a permis à l'attaquant d'augmenter artificiellement la valeur de certains actifs, d'emprunter des fonds et de réaliser un profit après remboursement du prêt.
• Quelque 143 millions de dollars ont été empruntés à titre deprêt flashLes données de la blockchain semblent indiquer que le pirate a réalisé un profit de 13,4 millions de dollars. PeckShield a déclaré que les pertes totales du protocole pourraient être bien plus élevées.
• L'écosystème Deus comprend deux jetons : DEUS et DEI. DEUS est le jeton de gouvernance de la plateforme. La frappe de DEI, unstablecoinindexé 1:1 sur le dollar américain, brûle les DEUS et rachète les DEI pour créer des DEUS, selondocuments du développeur.
• L'exploit de jeudi était le deuxième en deux mois sur le protocole, qui étaitattaqué de manière similaireen mars pour 3 millions de dollars.

Comment l'attaque a eu lieu

En utilisant le prêt flash, les attaquants de Deus ont pu manipuler temporairement les prix d'un pool de liquidités composé du stablecoin USD Coin (USDC) et du DEI, et utiliser le prix DEI manipulé pour emprunter et vider le pool.

Les prêts flash permettent aux utilisateurs de DeFi Emprunter des millions de dollars sans garantie. Il ne s'agit T de Crypto magie ni d'argent gratuit : le prêt doit être remboursé avant la fin de la transaction, sinon le contrat intelligent l'annule, comme si le prêt n'avait jamais existé.

À l'inverse, les pools de liquidité, tels que les pools USDC et DEI sur Deus, s'appuient sur des oracles pour garantir que leur prix est correctement fixé à tout moment et que tout emprunt reste dans des limites ne dépassant T la valeur totale de ces pools. Les oracles sont des outils basés sur la blockchain qui fournissent des informations externes fiables aux contrats intelligents. Ils sont indispensables car les blockchains peuvent stocker des données de manière immuable, mais ne peuvent T vérifier l'exactitude des données d'entrée.

Jeudi, les attaquants ont pu obtenir un prêt éclair de plus de 143 millions USDC et l'ont utilisé pour échanger 9,5 millions DEI, selon PeckShield. Cela a fait que le prix du DEI est soudainement devenu plus cher que le taux de change habituel de 1 $.

L'attaquant a ensuite utilisé quelque 71 000 DEI pour emprunter plus de 17,2 millions de DEI en utilisant des prix manipulés. Le prêt flash a ensuite été remboursé, permettant à l'attaquant d'empocher 13,4 millions de dollars.

Le cours de DEUS a chuté de 16,5 % au cours des dernières 24 heures, selon les données de CoinGecko. La majeure partie de ces pertes est survenue après la publication de l'exploit. Deus n'avait pas répondu à une Request de commentaire au moment de la publication.