Finanza inversa del prestatore DeFi sfruttata per 15,6 milioni di dollari

Il protocollo di prestito basato su Ethereum Inverse Finanza (INV) ha dichiarato sabato di essere stato vittima di un exploit, con un aggressore che ha rubato 15,6 milioni di dollari in Criptovaluta.

Secondo Inverse, l'attaccante ha preso di mira il suo mercato monetario Anchor, manipolando artificialmente i prezzi dei token per ottenere prestiti a fronte di garanzie estremamente basse.

Questo è il terzo hack multimilionario di un protocollo Finanza decentralizzata (DeFi) a fare notizia questa settimana, e sottolinea le tecniche sempre più sofisticate applicate dagli aggressori. Martedì, la Ronin Network incentrata sul gaming annunciato una perdita di oltre 625 milioni di $ in Cripto. Due giorni dopo, il protocollo di prestito Ola Finanza disseè stato sfruttato per 3,6 milioni di dollari.

Secondo la società di sicurezza blockchainScudo di Peck, l'attaccante inverso ha sfruttato una vulnerabilità in unKeep3r oracolo dei prezziInverse usa per tracciare i prezzi dei token. L'attaccante ha ingannato l'oracolo facendogli credere che il prezzo del token INV di Inverse fosse straordinariamente alto, e poi ha contratto prestiti multimilionari su Anchor usando l'INV gonfiato come garanzia.

L'attacco è stato notevolmente ben finanziato; per riuscirci, l'attaccante ha prima prelevato 901 ETH (circa 3 milioni di dollari) da Tornado in contanti, che viene utilizzato per erogare Cripto senza lasciare una traccia chiara. L'attaccante ha quindi iniettato i fondi misteriosi in diverse coppie di trading su scambio decentralizzato Sushiswap – gonfia il prezzo di INV agli occhi dell'oracolo dei prezzi Keep3r.

Con il prezzo dell'INV sufficientemente alto, l'attaccante ha contratto prestiti garantiti dall'INV su Anchor prima che gli arbitraggisti riportassero il prezzo dell'INV a livelli normali.

Un rappresentante di PeckShield ha fatto notare a CoinDesk che l'attacco era ad alto rischio perché i 3 milioni di dollari in Cripto utilizzate per ingannare l'oracolo dei prezzi sarebbero andati completamente persi se il prezzo di INV fosse tornato a livelli normali prima che l'aggressore contraesse i prestiti.

In totale, l'attaccante è riuscito a scappare con 1.588 ETH, 94 WBTC, 39 YFI e 3.999.669 DOLA. L'attaccante ha riciclato la maggior parte dei fondi tramite Tornado Cash, il che significa che è difficile sapere dove finiranno i fondi, ma 73,5 ETH (circa $ 250.000) rimangono nell'originale dell'attaccante. Portafoglio Ethereum.

Inverse ha affermato nel suo annuncio di aver temporaneamente sospeso tutti i prestiti su Anchor e un rappresentante del protocollo ha dichiarato a CoinDesk che sta lavorando con Chainlink per creare un nuovo oracolo INV.

Inverse ha anche annunciato che intende presentare una proposta alla sua organizzazione autonoma decentralizzata (DAO) per "garantire che tutti i portafogli interessati dalla manipolazione dei prezzi vengano rimborsati al 100%", senza però fornire ulteriori dettagli.