価格オラクル操作のエクスプロイトで15.6万ドルを失ったわずかXNUMXか月後、InverseFinanceは再び フラッシュローン 攻撃者がテザーで1.26万ドルを稼ぐのを見たエクスプロイト(USDT)およびラップされたビットコイン(wBTC)。
インバースファイナンスはイーサリアムベースの分散型ファイナンス(DeFi)プロトコルであり、フラッシュローンは通常XNUMX回のトランザクションで借り入れて返済する一種の暗号ローンです。 オラクルは外部の価格情報を報告します。
最新のエクスプロイトは、フラッシュローンを使用して、プロトコルのマネーマーケットアプリケーションで使用される流動性プロバイダー(LP)トークンの価格オラクルを操作することで機能しました。 これにより、攻撃者は、投稿した担保の量よりも多くのプロトコルのステーブルコインであるDola(DOLA)を借りることができ、差額をポケットに入れることができました。
攻撃は、同様の2月XNUMX日からXNUMXか月強で発生します。 エクスプロイト、攻撃者が価格オラクルを介して担保付きトークンの価格を人為的に操作し、高騰した価格を使用して資金を排出するのを見ました。
攻撃に応じて、インバースファイナンスは一時的に借入を一時停止し、DOLAをマネーマーケットから削除しました。 事件を調査した、リスクのあるユーザー資金はないと言った。
今朝、DOLAが短期金融市場であるフロンティアから削除された事件を受けて、インバースは一時的に借入を一時停止しました。 私たちは事件を調査していますが、ユーザーの資金は取られなかったか、危険にさらされていました。 調査中です。詳細は近日中にお知らせします。
— Inverse +(@InverseFinance) 2022 年 6 月 16 日
後で 確認された 攻撃者の預け入れられた担保のみが事件の影響を受け、DOLAが盗まれたためにそれ自体に債務が発生しただけでした。 これ 攻撃者に資金を返すように促した 「寛大な報奨金」と引き換えに。
関連する 攻撃者はLPエクスプロイトでOsmosisから5万ドルを略奪し、2万ドルはすぐに返還されました
合計で、攻撃者は攻撃から99,976USDTと53.2wBTCを獲得し、それらをETHに交換してから、すべてを暗号通貨ミキサーTornado Cashに送信し、得られなかった利益を難読化しようとしました。
前 攻撃 15.6月には、攻撃者がXNUMX万ドルのEther(ETH)、wBTC、Yearn.Finance(YFI)およびDOLA。
DeFiマーケットプレイスDeusFinance XNUMX月に同様のエクスプロイトに苦しんだ、攻撃者がオラクル内の価格ペアを操作して、200,000ダイ(DAI)および1101.8 ETH、当時3万ドル以上の価値があります。
クレジットベースのステーブルコインプロトコルであるBeanstalkFarms、 182億XNUMX万ドル相当の担保をすべて失った XNUMXつの悪意のあるガバナンス提案によって引き起こされたフラッシュローン攻撃で、最終的にはプロトコルからすべての資金を使い果たしました。
最新の攻撃がどのように減少したか
ブロックチェーンセキュリティ会社BlockSec 分析 攻撃者がフラッシュローンで27,000wBTCを借り、ユーザーが暗号資産を借りられるように、インバースファイナンスで担保を差し入れるために使用されるLPトークンに少量を交換したこと。
残りのwBTCは USDTに交換、攻撃者の担保付きLPトークンの価格が、価格オラクルの観点から大幅に上昇する原因になります。 価格の上昇により、これらのLPトークンの価値ははるかに高くなり、攻撃者は通常よりも多くのDOLAステーブルコインを借りました。
DOLAの価値は、預け入れられた担保よりもはるかに価値があったため、攻撃者はDOLAをUSDTにスワップし、以前のwBTCからUSDTへのスワップは元のフラッシュローンを返済するために取り消されました。
出典:https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack