Volgens een tweet door DeFi-analysebedrijf PeckShield, het gedecentraliseerde derivatenprotocol Deus Finance leed aan een exploit op 28 april 2022. De blockchain-beveiligingsprovider merkte op dat de aanvaller erin slaagde een prijsorakel te manipuleren voor flitsleningen op Deus DAO.
De opkomst en opkomst van aanvallen met flitsleningen
“De hack is mogelijk gemaakt door de flitslening-ondersteunde manipulatie van het prijsorakel dat leest van het StableV1 AMM – USDC/DEI-paar. De gemanipuleerde prijs van onderpand DEI wordt vervolgens gebruikt om de pool te lenen en leeg te pompen, "legde PeckShield uit.
Door de exploit kon de kwaadwillende acteur meer dan $ 13.4 miljoen overhevelen uit de liquiditeitspool van het uitleenprotocol op Fantom Network. Het totale verlies aan het Deus-protocol zou echter veel hoger kunnen zijn, volgens het op beveiliging gerichte bedrijf CertiK.
In een tweet CertiK bevestigde donderdagochtend dat er een flitslening-exploit had plaatsgevonden op het Deus-platform, maar schatte dat de aanvaller ongeveer $ 16.84 miljoen winst had gemaakt.
Hacker draagt gestolen geld over naar Crypto Mixer
De onbekende aanvaller was in staat om het vermogen van de slimme contracten van Deus te misleiden om prijsorakelgegevens te interpreteren, waardoor hij de waarde van onderpand-DEI kon manipuleren. DEI is de fractionele reserve stablecoin van het DeFi-protocol, gekoppeld aan de waarde van de Amerikaanse dollar.
Met behulp van de opgeblazen prijs gebruikte de hacker onderpand om grote sommen crypto te lenen als een flitslening en de pool leeg te pompen. Kort na het veiligstellen van zijn buit van ongeveer 5446 ETH, verplaatste de aanvaller geld van zijn portemonnee naar Tornado Cash, een populair hulpmiddel voor het mixen van munten.
Op het moment van schrijven heeft het portemonnee-adres dat is gekoppeld aan de Deus-uitbuiter een saldo van slechts $ 132, omdat de meeste gestolen fondsen al naar de Tornado Cash-privacyoplossing zijn gesluisd.
Het Deus-ecosysteem wankelt in de nasleep van de verwoestende exploit in de vroege Aziatische uren op donderdag. De exploit heeft de prijs van DEI de afgelopen 16.5 uur met 24% doen crashen, volgens gegevens van CoinGecko. Het grootste deel van de verliezen kwam nadat blockchain-beveiligingsbedrijven de details van de flitsleningaanval openbaar maakten.
Deus Finance-ontwikkelaars schorten DEI-leningen op
Het Deus-ontwikkelteam heeft snel gehandeld om de paniek onder gebruikers te onderdrukken na de verwoestende hack van donderdag op het netwerk. In een tweet gepost op donderdagochtend, verzekerden de projectfinanciers investeerders dat het bilaterale OTC-derivatenplatform nu veilig is.
Het team bevestigde dat gebruikersfondsen veilig waren en herhaalde dat er geen investeerders werden geliquideerd. Ze legden verder uit dat DEI's 1:1-koppeling aan de Amerikaanse dollar was hersteld, maar informeerden marktdeelnemers dat het uitlenen van de stablecoin tijdelijk was stopgezet.
Helaas is de nieuwste hack op Deus Finance niet de eerste. Vorige maand werd de DeFi-marktplaats geïnfiltreerd door aanvallers die dezelfde aanvalsvector voor flitsleningen gebruikten. Zoals gemeld door crypto.news, zag de malware-exploitatie cybercriminelen weglopen met ongeveer $ 3 miljoen aan ETH- en DAI-munten.
Na de inbreuk op 15 maart kondigde Deus Finance DAO de stopzetting van het DEI-leningscontract aan. De CEO van Deus-protocol, Lafayette Tabor, legde toen een... vergoedingsplan waardoor getroffen gebruikers hun leningen konden terugbetalen en geliquideerde fondsen konden terugvorderen.
Bron: https://crypto.news/deus-finance-new-flashloan-attack-13m/