Жизнь не учит. Протокол децентрализованного финансирования (DeFi) под названием Inverse Finance (INV) в четверг подвергся эксплойту мгновенного кредита, и хакер скрылся с примерно 1,2 миллиона долларов. Примечательно, что это произошло после того, как в апреле Inverse Finance стала жертвой эксплойта на 15 миллионов долларов.
Согласно данным, полученным в сети, в ходе сегодняшнего инцидента около 4:47 утра по восточному времени неизвестный хакер провел атаку с использованием флэш-кредита, используя 27 000 WBTC (на сумму около $579 млн) около 4:47 утра по восточному времени. В результате атаки злоумышленнику удалось вывести с платформы 53 BTC и 100 000 USDT на общую сумму около $1,2 млн.
Дальнейший анализ данных блокчейна показывает, что эти средства были отправлены в Tornado Cash (TORN), популярный миксер транзакций в сети Ethereum.
PeckShield, охранная фирма, которая первой заметила инцидент, заявила, что потеря протокола может быть больше, чем сумма в 1,2 миллиона долларов, приcвоенная злоумышленником.
Флэш-кредиты - это заемные средства, взятые с требованием, чтобы они все были возвращены в той же транзакции. В то время как флэш-кредиты предназначены для арбитражной торговли и повышения эффективности капитала, хакеры злоупотребляют ими, чтобы манипулировать потоками ценовых данных DeFi, известными как оракулы, и выполнять эксплойты.
«Взлом стал возможен благодаря манипулированию ценовым оракулом, который неправильно использует остатки активов в пуле для прямого расчета цены токена LP. Флэш-кредит значительно облегчает организацию перекоса резервов в пуле», — сказал PeckShield.
Чтобы держать в курсе сообщество, Inverse заявила в Твиттере, что временно приостановила заимствования и все еще проводит расследование.