Inverse Finance leed op 16 juni nog een aanvallen, met een exploit van orakelprijsmanipulatie waardoor een hacker ongeveer $ 1.3 miljoen kan stelen, wat resulteert in een verlies van $ 5.8 miljoen voor het protocol.
Blockchain-beveiligingsbedrijf PeckShield onthulde de details van het incident in een reeks tweets.
4/ Het initiële fonds (1 ETH) om de hack te lanceren wordt teruggetrokken uit @RTLnieuws. Momenteel blijven 68 ETH's van de illegale winsten op het account van de hacker staan https://t.co/lEA5jmsGXZ… en 1000 ETH's zijn gestort op @RTLnieuws pic.twitter.com/fkhCdkAyvM
- PeckShield Inc. (@peckshield) 16 June 2022
Deze recente aanval maakt het de tweede aanval op het DeFi-protocol in twee maanden tijd. Eerder in april kreeg Inverse Finance een aanval die leidde tot een verlies van $ 15.6 miljoen.
De exploit
Een uitgebreid verslag van de aanval werd later gepubliceerd op de website van Inverse Finance.
Het rapport legt uit dat de exploit plaatsvond op de yvcrv3crypto-markt, die Chainlink-prijsgegevens gebruikte in plaats van de interne wisselkoers van het Curve-protocol.
Inverse Finance zei dat het prijsverschil de hacker in staat stelde een flitslening te nemen van 27,000 Wrapped Bitcoin (wBTC) - een aangepaste versie van Bitcoin, die gelijk is in prijs, maar kan worden gebruikt op de Ethereum (ETH) netwerk.
De aanvaller ruilde vervolgens de wBTC in de tricrypto-pool, wat leidde tot een stijging van de prijs van het yvcrv3crypto LP-token op het prijsorakel en waardoor de hacker DOLA – de stablecoin van Inverse Finance – kon lenen tegen dat onderpand op het Frontier-platform van Inverse Finance.
PeckShield, met behulp van Etherscan-gegevens, zei in een tweet dat 68 ETH van het gestolen bedrag nog steeds bij de hacker is en dat 1,000 ETH zijn gestort op Tornado Cash, een cryptocurrency-mixer die verschillende stromen van mogelijk identificeerbare cryptocurrency combineert om de anonimiteit te vergroten en transacties moeilijker te maken te traceren.
Inverse Finance' zei dat door de hack geen door gebruikers gestort onderpand werd aangetast, maar merkte op dat de Frontier Fed, Inverse Finance DAO $ 5.8 miljoen aan slechte DOLA-schulden had opgelopen. Dit komt bovenop de ongeveer $ 3.8 miljoen DOLA-schuld die is opgelopen bij de hack van april.
Het DeFi-protocol voegde eraan toe dat aangezien er geen individuele gebruikers rechtstreeks door het incident werden getroffen, er geen wijzigingen nodig zijn in het herstelplan voor de gebruikers die getroffen zijn door het incident in april.
Inverse Finance belooft een reeks acties
Inverse Finance heeft een reeks veiligheidsmaatregelen beschreven, waaronder plannen om de fondsen terug te vorderen en extra veiligheid op het DeFi-platform te garanderen.
Dit omvatte een open oproep aan de hacker om het geld terug te geven voor "een genereuze premie". Daarnaast beloofde de DAO gegevens van de aanval beschikbaar te stellen aan iedereen die bereid is te helpen bij het terugkrijgen van het geld tegen een beloning.
Inverse Finance verklaarde dat het de diensten van RiskDAO, een team van beveiligingsexperts, heeft overgenomen om de aanval te onderzoeken en dat het ook extra personeel voor beveiligingsoperaties inhuurt.
Ten slotte heeft Inverse Finance het lenen van alle activa op het Frontier-platform gepauzeerd, maar verwacht dat het lenen tegen activa met alleen Chainlink-feeds en INV binnenkort zal worden hervat.
Bron: https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/