Кредитор DeFi Inverse Finance стал жертвой эксплойта стоимостью 15,6 миллиона долларов
Протокол кредитования на основе Ethereum Inverse Finance (INV) заявил в субботу, что он пострадал от эксплойта, а злоумышленник получил криптовалюту на сумму 15,6 миллиона долларов.
Согласно Inverse, злоумышленник нацелился на свой денежный рынок Anchor (ANC), искусственно манипулируя ценами на токены, чтобы занять кредиты под чрезвычайно низкое обеспечение.
Это третий многомиллионный взлом протокола децентрализованных финансов (DeFi), который попал в заголовки, и он подчеркивает все более сложные методы, выбираемые злоумышленниками. Во вторник сеть Ronin, ориентированная на игры, объявила о эксплойте более 625 миллионов долларов в криптовалюте, а затем через два дня протокол кредитования Ola Finance заявил, что она была эксплуатирована за 3,6 миллиона долларов.
По данным охранной фирмы блокчейна PeckShield, злоумышленник Inverse воспользовался уязвимостью в цене оракул Keep3r, которую использует Inverse для отслеживания цен на токены. Злоумышленник обманул оракул, думая, что цена токена INV Inverse чрезвычайно высока, а затем взял многомиллионные кредиты на Anchor, используя завышенная INV в качестве обеспечения.
Атака была заметно хорошо профинансирована; чтобы снять ее, злоумышленник сначала снял 901 ETH (около 3 миллионов долларов) из Tornado Cash, который используется для выплаты криптовалюты, не оставляя четкого следа. Затем злоумышленник влил таинственные средства в несколько торговых пар на децентрализованной бирже SushiSwap, завысив цену INV в глазах ценового оракула Keep3r. Поскольку цена INV достаточно высока, злоумышленник затем взял кредиты, обеспеченные INV, на Anchor, прежде чем арбитраж вернул цену INV к нормальному уровню.
Представитель PeckShield отметил, что атака была рискованной, так как криптовалюта на сумму 3 миллиона долларов, используемая для обмана ценового оракул, была бы полностью потеряна, если бы цена INV упала до нормального уровня, прежде чем злоумышленник взял кредиты. В общей сложности злоумышленнику удалось взять 1 588 ETH, 94 WBTC, 39 YFI и 3 999 669 DOLA. Злоумышленник вернул большую часть средств через Tornado Cash , но 73,5 ETH (около 250 000 долларов США) остается в оригинальном кошельке Ethereum злоумышленника.
Inverse сказал в своем объявлении, что временно приостановил все заимствования на Anchor, и представитель протокола сообщил, что он работает с Chainlink над созданием нового оракула INV. Inverse также объявила, что планирует внести предложение своей децентрализованной автономной организации (DAO) «обеспечить, чтобы все кошельки, затронутые манипулированием ценами, были погашены на 100%», хотя и без предоставления дополнительной информации.