Bara två månader efter att ha förlorat 15.6 miljoner dollar i en manipulation av prisorakel, har Inverse Finance återigen drabbats av en blixtlån utnyttjande som fick angriparna att klara sig med 1.26 miljoner dollar i Tether (USDT) och Wrapped Bitcoin (wBTC).
Inverse Finance är ett Ethereum-baserat decentraliserat finansprotokoll (DeFi) och ett flashlån är en typ av kryptolån som vanligtvis lånas och returneras inom en enda transaktion. Oracles rapporterar extern prisinformation.
Den senaste exploateringen fungerade genom att använda ett flashlån för att manipulera prisoraklet för en likviditetsleverantör (LP)-token som användes av protokollets penningmarknadsapplikation. Detta gjorde det möjligt för angriparen att låna en större mängd av protokollets stablecoin, Dola (DOLA), än mängden säkerheter de ställde, vilket lät dem plocka in skillnaden.
Attacken kommer drygt två månader efter en liknande 2 april exploatera, som såg angripare på konstgjord väg manipulera tokenpriser med säkerheter genom ett prisorakel för att tömma pengar med de uppblåsta priserna.
Som svar på attacken pausade Inverse Finance tillfälligt upplåningen och tog bort DOLA från penningmarknaden medan den undersökte händelsen, och sa att inga användarmedel var i fara.
Inverse har tillfälligt pausat lån efter en incident i morse där DOLA togs bort från vår penningmarknad, Frontier. Vi undersöker händelsen men inga användarmedel togs eller var i fara. Vi undersöker och kommer att ge mer information inom kort.
— Inverse+ (@InverseFinance) Juni 16, 2022
Det senare bekräftade att endast angriparens deponerade säkerheter påverkades vid händelsen och endast ådrog sig en skuld till sig själv på grund av den stulna DOLA. Det uppmuntrade angriparen att lämna tillbaka pengarna i utbyte mot en "generös belöning".
Totalt fick angriparna 99,976 53.2 USDT och XNUMX wBTC från attacken, bytte dem till ETH innan de skickade allt genom kryptovalutamixern Tornado Cash, i ett försök att fördunkla de illa vunna vinsterna.
Den tidigare attackera i april kom angripare iväg med 15.6 miljoner dollar i Ether (ETH), wBTC, Yearn.Finance (YFI) och DOLA.
DeFi marknadsplats Deus Finance drabbades av en liknande bedrift i mars, med angripare som manipulerar ett prispar i ett orakel som leder till en vinst på 200,000 XNUMX Dai (DAI) och 1101.8 ETH, värda över 3 miljoner dollar vid den tiden.
Beanstalk Farms, ett kreditbaserat stablecoin-protokoll, förlorat alla säkerheter till ett värde av 182 miljoner dollar i en snabblånsattack orsakad av två illvilliga förvaltningsförslag, som i slutändan dränerade alla medel från protokollet.
Hur den senaste attacken gick till
Blockchain-säkerhetsföretaget BlockSec analyseras att angriparen lånade 27,000 XNUMX wBTC i ett flashlån och bytte ett litet belopp till LP-token som användes för att lägga säkerheter i Inverse Finance så att användare kan låna kryptotillgångar.
Den återstående wBTC var bytte till USDT, vilket gör att priset på angriparens LP-token med säkerhet stiger avsevärt i prisoraklets ögon. Med värdet på dessa LP-tokens nu värt mycket mer på grund av prisuppgången, lånade angriparen en större summa än vanligt av DOLA stablecoin.
Värdet på DOLA var värt mycket mer än den deponerade säkerheten, så angriparen bytte DOLA till USDT, och det tidigare utbytet av wBTC till USDT byttes om för att återbetala det ursprungliga flashlånet.
Källa: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack