Condividi questo articolo
Finanza inversa del prestatore DeFi sfruttata per 15,6 milioni di dollari
Si tratta del terzo attacco Cripto multimilionario a far notizia negli ultimi giorni.
Di Sam Kessler
Il protocollo di prestito basato su Ethereum Inverse Finanza (INV) ha dichiarato sabato di essere stato vittima di un exploit, con un aggressore che ha rubato 15,6 milioni di dollari in Criptovaluta.
Secondo Inverse, l'attaccante ha preso di mira il suo mercato monetario Anchor, manipolando artificialmente i prezzi dei token per ottenere prestiti a fronte di garanzie estremamente basse.
La storia continua sotto
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse (@InverseFinance) April 2, 2022
Questo è il terzo hack multimilionario di un protocollo Finanza decentralizzata (DeFi) a fare notizia questa settimana, e sottolinea le tecniche sempre più sofisticate applicate dagli aggressori. Martedì, la Ronin Network incentrata sul gaming annunciato una perdita di oltre 625 milioni di $ in Cripto. Due giorni dopo, il protocollo di prestito Ola Finanza disseè stato sfruttato per 3,6 milioni di dollari.
Secondo la società di sicurezza blockchainScudo di Peck, l'attaccante inverso ha sfruttato una vulnerabilità in unKeep3r oracolo dei prezziInverse usa per tracciare i prezzi dei token. L'attaccante ha ingannato l'oracolo facendogli credere che il prezzo del token INV di Inverse fosse straordinariamente alto, e poi ha contratto prestiti multimilionari su Anchor usando l'INV gonfiato come garanzia.
L'attacco è stato notevolmente ben finanziato; per riuscirci, l'attaccante ha prima prelevato 901 ETH (circa 3 milioni di dollari) da Tornado in contanti, che viene utilizzato per erogare Cripto senza lasciare una traccia chiara. L'attaccante ha quindi iniettato i fondi misteriosi in diverse coppie di trading su scambio decentralizzato Sushiswap – gonfia il prezzo di INV agli occhi dell'oracolo dei prezzi Keep3r.
Con il prezzo dell'INV sufficientemente alto, l'attaccante ha contratto prestiti garantiti dall'INV su Anchor prima che gli arbitraggisti riportassero il prezzo dell'INV a livelli normali.
Un rappresentante di PeckShield ha fatto notare a CoinDesk che l'attacco era ad alto rischio perché i 3 milioni di dollari in Cripto utilizzate per ingannare l'oracolo dei prezzi sarebbero andati completamente persi se il prezzo di INV fosse tornato a livelli normali prima che l'aggressore contraesse i prestiti.
In totale, l'attaccante è riuscito a scappare con 1.588 ETH, 94 WBTC, 39 YFI e 3.999.669 DOLA. L'attaccante ha riciclato la maggior parte dei fondi tramite Tornado Cash, il che significa che è difficile sapere dove finiranno i fondi, ma 73,5 ETH (circa $ 250.000) rimangono nell'originale dell'attaccante. Portafoglio Ethereum.
Inverse ha affermato nel suo annuncio di aver temporaneamente sospeso tutti i prestiti su Anchor e un rappresentante del protocollo ha dichiarato a CoinDesk che sta lavorando con Chainlink per creare un nuovo oracolo INV.
Inverse ha anche annunciato che intende presentare una proposta alla sua organizzazione autonoma decentralizzata (DAO) per "garantire che tutti i portafogli interessati dalla manipolazione dei prezzi vengano rimborsati al 100%", senza però fornire ulteriori dettagli.
Mais para você
O que saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mais para você
Un nuovo bug di React in grado di prosciugare tutti i tuoi token sta colpendo "migliaia di" siti web
Gli attaccanti stanno sfruttando la vulnerabilità per distribuire malware e software di mining di criptovalute, compromettendo le risorse del server e potenzialmente intercettando le interazioni con wallet sulle piattaforme crypto.
O que saber:
- Una vulnerabilità critica nei React Server Components, nota come React2Shell, è attivamente sfruttata, mettendo a rischio migliaia di siti web, comprese le piattaforme cripto.
- La vulnerabilità, identificata come CVE-2025-55182, consente l'esecuzione remota di codice senza autenticazione e interessa le versioni di React dalla 19.0 alla 19.2.0.
- Gli aggressori stanno sfruttando la vulnerabilità per distribuire malware e software di mining di criptovalute, compromettendo le risorse del server e potenzialmente intercettando le interazioni con i wallet sulle piattaforme crypto.
Storie Da Non Perdere
