Inverse Finance le 16 juin a subi un autre attaquer, avec un exploit de manipulation de prix oracle permettant à un pirate de voler environ 1.3 million de dollars et entraînant une perte de 5.8 millions de dollars pour le protocole.
La société de sécurité Blockchain PeckShield a révélé les détails de l'incident dans une série de tweets.
4/ Le fonds initial (1 ETH) pour lancer le hack est retiré de @TornadeCash. Actuellement, 68 ETH des gains illicites restent toujours sur le compte du pirate https://t.co/lEA5jmsGXZ… et 1000 ETH ont été déposés à @TornadeCash pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) Le 16 juin 2022
Cette attaque récente en fait la deuxième attaque contre le protocole DeFi en l'espace de deux mois. Plus tôt en avril, Inverse Finance a subi une attaque qui a entraîné la perte de 15.6 millions de dollars.
L'exploit
Une approche globale rapport de l'attaque a ensuite été publiée sur le site Web d'Inverse Finance.
Le rapport explique que l'exploit s'est produit sur le marché yvcrv3crypto, qui a utilisé les données de prix Chainlink au lieu du taux de change interne du protocole Curve.
Inverse Finance a déclaré que l'écart de prix avait permis au pirate informatique de contracter un prêt flash de 27,000 XNUMX Bitcoins enveloppés (wBTC) - une version modifiée de Bitcoin, qui est de prix égal, mais peut être utilisé sur l'Ethereum (ETH) réseau.
L'attaquant a ensuite échangé le wBTC dans le pool tricrypto, entraînant une augmentation du prix du jeton yvcrv3crypto LP sur l'oracle des prix et permettant au pirate d'emprunter DOLA - le stablecoin d'Inverse FInance - contre cette garantie sur la plate-forme Frontier d'Inverse FInance.
PeckShield, utilisant les données d'Etherscan, a déclaré dans un tweet que 68 ETH du montant volé sont toujours avec le pirate et 1,000 XNUMX ETH ont été déposés sur Tornado Cash, un mélangeur de crypto-monnaie qui mélange différents flux de crypto-monnaie potentiellement identifiables pour augmenter l'anonymat et rendre les transactions plus difficiles. tracer.
Inverse FInance 'a déclaré qu'aucune garantie déposée par l'utilisateur n'avait été affectée par le piratage, mais a noté que la Fed Frontier, Inverse Finance DAO avait contracté 5.8 millions de dollars de créances irrécouvrables DOLA. Cela s'ajoute à la dette DOLA d'environ 3.8 millions de dollars contractée lors du piratage d'avril.
Le protocole DeFi a ajouté qu'étant donné qu'aucun utilisateur individuel n'a été directement touché par l'incident, aucune modification n'est nécessaire à son plan de réparation pour les utilisateurs touchés par l'incident d'avril.
Inverse Finance promet un éventail d'actions
Inverse Finance a détaillé une série de mesures de sécurité, qui incluent des plans pour récupérer les fonds et assurer une sécurité supplémentaire sur la plate-forme DeFi.
Cela comprenait un appel ouvert au pirate informatique pour qu'il restitue les fonds pour "une généreuse prime". En outre, le DAO a promis de mettre les données de l'attaque à la disposition de toute personne désireuse d'aider à récupérer les fonds contre une récompense.
Inverse Finance a déclaré avoir acquis les services de RiskDAO, une équipe d'experts en sécurité, pour enquêter sur l'attaque et embauche également du personnel supplémentaire pour les opérations de sécurité.
Enfin, Inverse FInance a suspendu les emprunts sur tous les actifs de la plate-forme Frontier, mais s'attend à ce que les emprunts sur des actifs avec des flux uniquement Chainlink ainsi qu'INV reprennent sous peu.
Source : https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/