Apenas dois meses depois de perder US $ 15.6 milhões em uma exploração de manipulação do oráculo de preços, a Inverse Finance foi novamente atingida por um empréstimo rápido exploração que viu os invasores fugirem com US $ 1.26 milhão em Tether (USDT) e Bitcoin Embrulhado (wBTC).
O Inverse Finance é um protocolo de finanças descentralizadas (DeFi) baseado em Ethereum e um empréstimo em flash é um tipo de empréstimo criptográfico que geralmente é emprestado e devolvido em uma única transação. Os oráculos relatam informações externas sobre preços.
A exploração mais recente funcionou usando um empréstimo em flash para manipular o oráculo de preços para um token de provedor de liquidez (LP) usado pelo aplicativo de mercado monetário do protocolo. Isso permitiu que o invasor tomasse emprestado uma quantidade maior da stablecoin do protocolo, Dola (DOLA), do que a quantidade de garantia que eles postaram, permitindo que eles embolsassem a diferença.
O ataque ocorre pouco mais de dois meses após um 2 de abril semelhante explorar, que viu os invasores manipularem artificialmente os preços dos tokens garantidos por meio de um oráculo de preços para drenar fundos usando os preços inflacionados.
Em resposta ao ataque, a Inverse Finance suspendeu temporariamente os empréstimos e removeu o DOLA do mercado monetário enquanto investigou o incidente, dizendo que nenhum fundo de usuário estava em risco.
A Inverse interrompeu temporariamente os empréstimos após um incidente nesta manhã em que o DOLA foi removido do nosso mercado monetário, Frontier. Estamos investigando o incidente, mas nenhum fundo de usuário foi retirado ou estava em risco. Estamos investigando e forneceremos mais detalhes em breve.
— Inverso+ (@InverseFinance) 16 de Junho de 2022
Mais tarde confirmado que apenas a garantia depositada pelo invasor foi afetada no incidente e apenas incorreu em dívida consigo mesmo devido ao DOLA roubado. Isto encorajou o atacante a devolver os fundos em troca de uma “recompensa generosa”.
Relacionado: Atacantes roubam US$ 5 milhões da Osmosis em exploração de LP, US$ 2 milhões devolvidos logo depois
No total, os atacantes ganharam 99,976 USDT e 53.2 wBTC com o ataque, trocando-os por ETH antes de enviar tudo através do misturador de criptomoedas Tornado Cash, tentando ofuscar os ganhos ilícitos.
O anterior ataque em abril, os atacantes fugiram com US$ 15.6 milhões em Ether (ETH), wBTC, Yearn.Finance (YFI) e DOLA.
Mercado DeFi Deus Finance sofreu uma exploração semelhante em março, com invasores manipulando um pareamento de preços dentro de um oráculo levando a um ganho de 200,000 Dai (DAI) e 1101.8 ETH, no valor de mais de US$ 3 milhões na época.
Beanstalk Farms, um protocolo de stablecoin baseado em crédito, perdeu todos os US $ 182 milhões em garantia em um ataque de empréstimo instantâneo causado por duas propostas de governança maliciosas, que no final drenaram todos os fundos do protocolo.
Como o último ataque aconteceu
Empresa de segurança Blockchain BlockSec analisado que o invasor emprestou 27,000 wBTC em um empréstimo instantâneo, trocando uma pequena quantia pelo token LP usado para depositar garantias no Inverse Finance para que os usuários possam emprestar ativos criptográficos.
O wBTC restante foi trocado por USDT, fazendo com que o preço do token LP garantido do invasor suba significativamente aos olhos do oráculo de preços. Com o valor desses tokens LP agora valendo muito mais devido ao aumento de preço, o invasor emprestou uma quantia maior do que o normal da stablecoin DOLA.
O valor do DOLA valia muito mais do que a garantia depositada, então o invasor trocou o DOLA por USDT, e a troca anterior de wBTC para USDT foi revertida para pagar o empréstimo em flash original.
Fonte: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack