16月XNUMX日逆向金融再遭重創 攻擊,利用預言機價格操縱漏洞,駭客竊取了約 1.3 萬美元,並導致協議損失 5.8 萬美元。
區塊鏈安全公司 PeckShield 在一系列推文中揭露了事件的細節。
4/ 發動駭客攻擊的初始資金(1 ETH)從 @龍捲風現金。 目前,68個ETH的非法收益仍留在駭客帳戶中 https://t.co/lEA5jmsGXZ…並且 1000 ETH 已存入 @龍捲風現金 pic.twitter.com/fkhCdkAyvM
— PeckShield Inc.(@peckshield) 2022 年 6 月 16 日
最近的攻擊是兩個月內針對 DeFi 協議的第二次攻擊。 15.6 月初,Inverse Finance 遭受攻擊,導致損失 XNUMX 萬美元。
漏洞利用
一個全面的 report 這次攻擊的詳細情況隨後發佈在逆向金融網站上。
該報告解釋說,該漏洞發生在 yvcrv3crypto 市場上,該市場使用 Chainlink 價格數據而不是 Curve 協議的內部匯率。
Inverse Finance 表示,價格差異使駭客獲得 27,000 個 Wrapped Bitcoin (wBTC) 的閃電貸,這是 WBTC 的修改版本。 比特幣,價格相同,但可以在以太坊上使用(ETH)網絡。
然後,攻擊者將 wBTC 交易到三加密池中,導致價格預言機上 yvcrv3crypto LP 代幣的價格飆升,並允許駭客在 Inverse FInance 的 Frontier 平台上用該抵押品借入 DOLA(Inverse FInance 的穩定幣)。
PeckShield 使用Etherscan 數據在推文中表示,被盜金額中的68 ETH 仍在黑客手中,1,000 ETH 已存入Tornado Cash,這是一種加密貨幣混合器,混合了不同的潛在可識別加密貨幣流,以增加匿名性並使交易變得更加困難追蹤。
Inverse FInance 表示,用戶存入的抵押品沒有受到駭客攻擊的影響,但指出 Frontier Fed、Inverse Finance DAO 產生了 5.8 萬美元的 DOLA 壞帳。 這還不包括 3.8 月駭客攻擊造成的約 XNUMX 萬美元的 DOLA 債務。
DeFi 協議補充說,由於沒有個人用戶受到事件的直接影響,因此無需更改其針對 XNUMX 月事件影響的用戶的補償計劃。
逆向金融承諾採取一系列行動
Inverse Finance 詳細介紹了一系列安全措施,其中包括收回資金並確保 DeFi 平台額外安全的計劃。
其中包括公開呼籲駭客返還資金以獲得「慷慨的賞金」。 此外,DAO 承諾向任何願意幫助追回資金並獲得獎勵的人提供攻擊數據。
Inverse FInance 表示,它獲得了安全專家團隊 RiskDAO 的服務來調查攻擊,並正在招募額外的安全營運人員。
最後,Inverse Finance 已暫停 Frontier 平台上所有資產的借貸,但預計僅使用 Chainlink 和 INV 的資產借貸將很快恢復。
來源:https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/