Ethereum

Inverse Finance explotado nuevamente por $ 1.2M en flashloan oracle attack

Los fondos de los usuarios no se han visto afectados por el exploit, pero Inverse Finance incurrió en una deuda y ofreció al atacante una recompensa para devolver los fondos robados.

Apenas dos meses después de perder 15,6 millones de dólares en un exploit de manipulación del oráculo de precios, Inverse Finance se vio nuevamente afectada por un exploit de flashloan que hizo que los atacantes se llevaran 1,26 millones de dólares en Tether ( USDT ) y Wrapped Bitcoin (WBTC).

Inverse Finance es un protocolo de finanzas descentralizadas (DeFi) basado en Ethereum y un flashloan es un tipo de préstamo criptográfico que generalmente se toma prestado y se devuelve en una sola transacción. Los oráculos reportan información de precios externa.

El último exploit funcionó mediante el uso de un préstamo flash para manipular el oráculo de precios para un token de proveedor de liquidez (LP) utilizado por la aplicación del mercado monetario del protocolo. Esto permitió al atacante tomar prestada una cantidad mayor de la moneda estable del protocolo DOLA que la cantidad de garantía que publicaron, lo que les permitió embolsarse la diferencia.

El ataque se produce poco más de dos meses después de un exploit similar del 2 de abril en el que los atacantes manipularon artificialmente los precios de los tokens garantizados a través de un oráculo de precios para drenar fondos utilizando los precios inflados.

En respuesta al ataque, Inverse Finance detuvo temporalmente los préstamos y eliminó su moneda estable DOLA del mercado monetario mientras investigaba el incidente , diciendo que los fondos de los usuarios no estaban en riesgo.

Más tarde confirmó que solo la garantía depositada por el atacante se vio afectada en el incidente y solo contrajo una deuda consigo mismo debido al DOLA robado. Animó al atacante a devolver los fondos a cambio de una “recompensa generosa” .

Relacionado: Los atacantes saquean $ 5 millones de Osmosis en LP exploit, $ 2 millones devueltos poco después

En total, el atacante ganó 99.976 USDT y 53,2 WBTC del ataque, cambiándolos a ETH antes de enviarlo todo a través del mezclador de criptomonedas Tornado Cash, intentando ofuscar las ganancias mal habidas.

El ataque anterior en abril vio a los atacantes hacerse con $ 15,6 millones en ETH, WBTC, YFI y DOLA.

El mercado de DeFi, Deus Finance, sufrió una explotación similar en marzo , cuando los atacantes manipularon un emparejamiento de precios dentro de un oráculo que generó una ganancia de 200 000 Dai ( DAI ) y 1101,8 ETH por valor de más de USD 3 millones en ese momento.

Beanstalk Farms, un protocolo de moneda estable basado en crédito, perdió todos los $ 182 millones en garantía en un ataque de préstamo relámpago causado por dos propuestas de gobierno maliciosas que al final agotaron todos los fondos del protocolo.

Cómo ocurrió el último ataque

La empresa de seguridad Blockchain, BlockSec, analizó que el atacante tomó prestados 27 000 WBTC en un préstamo flash e intercambió una pequeña cantidad por el token LP utilizado para publicar garantías en Inverse Finance para que los usuarios puedan tomar prestados criptoactivos.

El WBTC restante se cambió a USDT , lo que provocó que el precio del token LP garantizado del atacante aumentara significativamente a los ojos del oráculo de precios. Dado que el valor de estos tokens LP ahora vale mucho más debido al aumento del precio, el atacante tomó prestada una cantidad mayor de lo habitual de la moneda estable DOLA.

El valor de DOLA valía mucho más que la garantía depositada, por lo que el atacante intercambió DOLA a USDT, y el intercambio anterior de WBTC a USDT se revirtió para pagar el flashloan original.

Deja un comentario

Debes estar registrado para publicar un comentario Login

Deja un comentario

To Top