Deux mois seulement après avoir perdu 15.6 millions de dollars dans un exploit de manipulation d'oracle de prix, Inverse Finance a de nouveau été touché par un prêt flash exploit qui a vu les attaquants s'enfuir avec 1.26 million de dollars en Tether (USDT) et Wrapped Bitcoin (wBTC).
Inverse Finance est un protocole de financement décentralisé (DeFi) basé sur Ethereum et un prêt flash est un type de prêt crypto qui est généralement emprunté et restitué en une seule transaction. Les oracles rapportent des informations de tarification externes.
Le dernier exploit a fonctionné en utilisant un prêt flash pour manipuler l'oracle des prix d'un jeton de fournisseur de liquidité (LP) utilisé par l'application du marché monétaire du protocole. Cela a permis à l'attaquant d'emprunter une plus grande quantité de pièces stables du protocole, Dola (DOLA), que le montant de la garantie qu'il a déposée, lui permettant d'empocher la différence.
L'attaque survient un peu plus de deux mois après un 2 avril similaire exploiter, qui a vu les attaquants manipuler artificiellement les prix des jetons garantis par le biais d'un oracle des prix pour drainer des fonds en utilisant les prix gonflés.
En réponse à l'attaque, Inverse Finance a temporairement suspendu les emprunts et retiré DOLA du marché monétaire pendant qu'il enquêté sur l'incident, affirmant qu'aucun fonds d'utilisateur n'était en danger.
Inverse a temporairement suspendu ses emprunts à la suite d'un incident ce matin où DOLA a été retiré de notre marché monétaire, Frontier. Nous enquêtons sur l'incident, mais aucun fonds d'utilisateur n'a été pris ou n'était en danger. Nous enquêtons et fournirons plus de détails bientôt.
– Inverse+ (@InverseFinance) Le 16 juin 2022
Il plus tard confirmé que seule la garantie déposée par l'attaquant a été affectée dans l'incident et n'a contracté une dette envers elle-même qu'en raison du DOLA volé. Ce a encouragé l'agresseur à restituer les fonds en échange d'une "prime généreuse".
Au total, les attaquants ont gagné 99,976 53.2 USDT et XNUMX wBTC grâce à l'attaque, les échangeant contre ETH avant de tout envoyer via le mélangeur de crypto-monnaie Tornado Cash, tentant d'obscurcir les gains mal acquis.
La précédente attaquer en avril a vu des attaquants s'enfuir avec 15.6 millions de dollars en Ether (ETH), wBTC, Yearn.Finance (YFI) et DOLA.
Place de marché DeFi Deus Finance a subi un exploit similaire en mars, avec des attaquants manipulant une paire de prix dans un oracle conduisant à un gain de 200,000 XNUMX Dai (DAI) et 1101.8 ETH, d'une valeur de plus de 3 millions de dollars à l'époque.
Beanstalk Farms, un protocole stablecoin basé sur le crédit, perdu la totalité des 182 millions de dollars de garantie dans une attaque de prêt éclair causée par deux propositions de gouvernance malveillantes, qui ont finalement drainé tous les fonds du protocole.
Comment la dernière attaque s'est déroulée
La société de sécurité Blockchain BlockSec analysé que l'attaquant a emprunté 27,000 XNUMX wBTC dans le cadre d'un prêt flash, échangeant un petit montant contre le jeton LP utilisé pour déposer des garanties dans Inverse Finance afin que les utilisateurs puissent emprunter des actifs cryptographiques.
Le wBTC restant était échangé contre USDT, provoquant une augmentation significative du prix du jeton LP garanti de l'attaquant aux yeux de l'oracle des prix. La valeur de ces jetons LP valant désormais beaucoup plus en raison de la hausse des prix, l'attaquant a emprunté un montant plus important que d'habitude du stablecoin DOLA.
La valeur du DOLA valait bien plus que la garantie déposée, de sorte que l'attaquant a échangé le DOLA contre l'USDT, et l'échange précédent de wBTC contre USDT a été annulé pour rembourser le prêt flash initial.
Source : https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack