Condividi questo articolo
Finanza inversa del prestatore DeFi sfruttata per 15,6 milioni di dollari
Si tratta del terzo attacco Cripto multimilionario a far notizia negli ultimi giorni.
Di Sam Kessler
Rendici preferiti su Google
Il protocollo di prestito basato su Ethereum Inverse Finanza (INV) ha dichiarato sabato di essere stato vittima di un exploit, con un aggressore che ha rubato 15,6 milioni di dollari in Criptovaluta.
Secondo Inverse, l'attaccante ha preso di mira il suo mercato monetario Anchor, manipolando artificialmente i prezzi dei token per ottenere prestiti a fronte di garanzie estremamente basse.
La storia continua sotto
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse (@InverseFinance) April 2, 2022
Questo è il terzo hack multimilionario di un protocollo Finanza decentralizzata (DeFi) a fare notizia questa settimana, e sottolinea le tecniche sempre più sofisticate applicate dagli aggressori. Martedì, la Ronin Network incentrata sul gaming annunciato una perdita di oltre 625 milioni di $ in Cripto. Due giorni dopo, il protocollo di prestito Ola Finanza disseè stato sfruttato per 3,6 milioni di dollari.
Secondo la società di sicurezza blockchainScudo di Peck, l'attaccante inverso ha sfruttato una vulnerabilità in unKeep3r oracolo dei prezziInverse usa per tracciare i prezzi dei token. L'attaccante ha ingannato l'oracolo facendogli credere che il prezzo del token INV di Inverse fosse straordinariamente alto, e poi ha contratto prestiti multimilionari su Anchor usando l'INV gonfiato come garanzia.
L'attacco è stato notevolmente ben finanziato; per riuscirci, l'attaccante ha prima prelevato 901 ETH (circa 3 milioni di dollari) da Tornado in contanti, che viene utilizzato per erogare Cripto senza lasciare una traccia chiara. L'attaccante ha quindi iniettato i fondi misteriosi in diverse coppie di trading su scambio decentralizzato Sushiswap – gonfia il prezzo di INV agli occhi dell'oracolo dei prezzi Keep3r.
Con il prezzo dell'INV sufficientemente alto, l'attaccante ha contratto prestiti garantiti dall'INV su Anchor prima che gli arbitraggisti riportassero il prezzo dell'INV a livelli normali.
Un rappresentante di PeckShield ha fatto notare a CoinDesk che l'attacco era ad alto rischio perché i 3 milioni di dollari in Cripto utilizzate per ingannare l'oracolo dei prezzi sarebbero andati completamente persi se il prezzo di INV fosse tornato a livelli normali prima che l'aggressore contraesse i prestiti.
In totale, l'attaccante è riuscito a scappare con 1.588 ETH, 94 WBTC, 39 YFI e 3.999.669 DOLA. L'attaccante ha riciclato la maggior parte dei fondi tramite Tornado Cash, il che significa che è difficile sapere dove finiranno i fondi, ma 73,5 ETH (circa $ 250.000) rimangono nell'originale dell'attaccante. Portafoglio Ethereum.
Inverse ha affermato nel suo annuncio di aver temporaneamente sospeso tutti i prestiti su Anchor e un rappresentante del protocollo ha dichiarato a CoinDesk che sta lavorando con Chainlink per creare un nuovo oracolo INV.
Inverse ha anche annunciato che intende presentare una proposta alla sua organizzazione autonoma decentralizzata (DAO) per "garantire che tutti i portafogli interessati dalla manipolazione dei prezzi vengano rimborsati al 100%", senza però fornire ulteriori dettagli.
