Apenas dos meses después de perder 15.6 millones de dólares en una explotación de manipulación del oráculo de precios, Inverse Finance se ha visto nuevamente afectada por un préstamo flash exploit que vio a los atacantes hacerse con $ 1.26 millones en Tether (USDT) y Bitcoin envuelto (wBTC).
Inverse Finance es un protocolo de finanzas descentralizadas (DeFi) basado en Ethereum y un préstamo flash es un tipo de préstamo criptográfico que generalmente se toma prestado y se devuelve en una sola transacción. Los oráculos reportan información de precios externa.
El último exploit funcionó mediante el uso de un préstamo flash para manipular el oráculo de precios para un token de proveedor de liquidez (LP) utilizado por la aplicación del mercado monetario del protocolo. Esto permitió al atacante tomar prestada una cantidad mayor de la moneda estable del protocolo, Dola (DOLA), que la cantidad de garantía que enviaron, lo que les permitió embolsarse la diferencia.
El ataque se produce poco más de dos meses después de un 2 de abril similar. explotar, en el que los atacantes manipularon artificialmente los precios de los tokens garantizados a través de un oráculo de precios para drenar fondos utilizando los precios inflados.
En respuesta al ataque, Inverse Finance detuvo temporalmente los préstamos y eliminó a DOLA del mercado monetario mientras investigó el incidente, diciendo que los fondos de los usuarios no estaban en riesgo.
Inverse ha pausado temporalmente los préstamos luego de un incidente esta mañana en el que se eliminó DOLA de nuestro mercado monetario, Frontier. Estamos investigando el incidente, sin embargo, no se tomaron fondos de los usuarios ni estuvieron en riesgo. Estamos investigando y proporcionaremos más detalles pronto.
— Inverso+ (@InverseFinance) Sábado, Junio 16, 2022
Eso mas tarde confirmado que solo la garantía depositada por el atacante se vio afectada en el incidente y solo contrajo una deuda consigo mismo debido a la DOLA robada. Eso animó al atacante a devolver los fondos a cambio de una “recompensa generosa”.
Relacionado: Los atacantes saquean $ 5 millones de Osmosis en LP exploit, $ 2 millones devueltos poco después
En total, los atacantes ganaron 99,976 USDT y 53.2 wBTC del ataque, cambiándolos a ETH antes de enviarlo todo a través del mezclador de criptomonedas Tornado Cash, intentando ofuscar las ganancias mal habidas.
El anterior atacar en abril, los atacantes se llevaron 15.6 millones de dólares en Ether (ETH), wBTC, Yearn.Finance (YFI) y DOLA.
Mercado DeFi Deus Finance sufrió una hazaña similar en marzo, con atacantes que manipulan un emparejamiento de precios dentro de un oráculo que conduce a una ganancia de 200,000 Dai (DAI) y 1101.8 ETH, con un valor de más de $3 millones en ese momento.
Beanstalk Farms, un protocolo de moneda estable basado en créditos, perdió todos los $ 182 millones en garantía en un ataque de préstamo relámpago causado por dos propuestas de gobernanza maliciosas, que al final agotaron todos los fondos del protocolo.
Cómo ocurrió el último ataque
Empresa de seguridad de cadena de bloques BlockSec analizo que el atacante tomó prestados 27,000 wBTC en un préstamo rápido, intercambiando una pequeña cantidad por el token LP utilizado para publicar garantías en Inverse Finance para que los usuarios puedan tomar prestados criptoactivos.
El wBTC restante fue cambiado a USDT, lo que hace que el precio del token LP garantizado del atacante aumente significativamente a los ojos del oráculo de precios. Dado que el valor de estos tokens LP ahora vale mucho más debido al aumento del precio, el atacante tomó prestada una cantidad mayor de lo habitual de la moneda estable DOLA.
El valor de DOLA valía mucho más que la garantía depositada, por lo que el atacante intercambió DOLA a USDT, y el intercambio anterior de wBTC a USDT se revirtió para pagar el préstamo flash original.
Fuente: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack