Как Deus Финансы был использован для получения $13,4 млн на Fantom

Децентрализованные Финансы (DeFi) Приложение Deus Финансы было взломано во второй раз за два месяца, и злоумышленник получил более 13,4 млн долларов США в Криптовалюта в утренние часы в Азии сегодня, исследователи безопасности из PeckShield сказал в твиттере. Эксплойт произошел в сети Fantom .

• Deus позволяет разработчикам создавать на своей платформе финансовые сервисы, такие как торговля фьючерсами, кредитование и опционы. (Раскрытие информации: автор этого отчета является поставщиком ликвидности для Deus на Ethereum, Fantom и BNB Chain.)
• Нападавший использовалмгновенный кредитобмануть способ, которым смарт-контракты Deus считывают данные о пулах ликвидности платформы. Это позволило злоумышленнику искусственно завысить стоимость некоторых активов, занять средства и получить прибыль после погашения кредита.
• Около 143 миллионов долларов были заимствованы в качествемгновенный кредит, данные блокчейна, по-видимому, показывают. Хакер смог получить прибыль в размере 13,4 млн долларов. PeckShield заявил, что общие потери протокола могут быть намного выше.
• Экосистема Deus состоит из двух токенов: DEUS и DEI. DEUS — это токен управления на платформе. Чеканка DEI,стейблкоинпривязанный к доллару США в соотношении 1:1, сжигает DEUS, а выкуп DEI чеканит DEUS, согласнодокументы разработчика.
• В четверг произошел второй инцидент с протоколом за два месяца, который былатакованы подобным образомв марте за 3 миллиона долларов.

Как произошло нападение

Используя мгновенный кредит, злоумышленники Deus смогли временно манипулировать ценами на пул ликвидности, состоящий из стейблкоина USD Coin (USDC) и DEI, и использовать манипулированную цену DEI для заимствования и опустошения пула.

Быстрые кредиты позволяют пользователям DeFi взять миллионы долларов в качестве кредита под нулевой залог. Это T Криптo и не бесплатные деньги: кредит должен быть погашен до окончания транзакции, иначе смарт-контракт отменит транзакцию — как будто кредита никогда не было.

С другой стороны, пулы ликвидности, такие как пул USDC и DEI на Deus, полагаются на так называемых оракулов, чтобы гарантировать, что они всегда правильно оценены, и любое заимствование находится в пределах, которые T превышают общую стоимость этих пулов. Оракулы — это основанные на блокчейне инструменты, которые предоставляют смарт-контрактам доверенную внешнюю информацию. Они необходимы, поскольку блокчейны могут неизменяемо хранить данные, но T могут проверять точность входных данных.

В четверг злоумышленники смогли взять экспресс-кредит на сумму более 143 миллионов USDC и использовали его для обмена 9,5 миллионов немецких токенов. по данным PeckShield. Это привело к тому, что цена DEI внезапно стала дороже обычного обменного курса в 1 доллар.

Затем злоумышленник использовал около 71 000 DEI, чтобы занять более 17,2 млн DEI, используя манипулированные цены. Затем мгновенный кредит был погашен, и злоумышленнику удалось прикарманить 13,4 млн долларов.

По данным CoinGecko, за последние 24 часа цены DEUS упали на 16,5%. Большая часть этих потерь произошла после того, как эксплойт был обнародован. Deus не ответил на Request о комментарии к моменту публикации.