Протокол Inverse Finance - REKT 2

Снова обокрали.

$1.2M достались анонимному хакеру, а в общей сложности потеря составила $5.8M.

Это второе попадание в рейтинг для проекта Inverse Finance, который также потерял $15M в результате атаки с манипулированием цены всего лишь два месяца назад.

И вот теперь новая манипуляция оракулом ударила по кредитному рынку протокола, DOLA. Согласно панели управления Risk DAO на нем теперь значится $10.63M плохого долга.

В Peckshield воспользовались случаем, чтобы твитнуть об эксплоите, но удалили свою новость после того, как их публично упрекнули в раскрытии информации об уязвимости, в то время как фонды все еще были в опасности.

Inverse Finance в объявлении об инциденте сказали, что:

"средства пользователей не были похищены и не подвергались риску."

Источник: Peckshield

Злоумышленнику удалось провести манипуляции с ценой yvcrv3Crypto, который использовался в качестве коллатерала. Оракул проекта Inverse "неправильно использует остатки активов в пуле для прямого расчета цены токена LP."

Используя полученные с помощью флэш-займа WBTC для проведения больших свопов в соответствующем пуле, баланс активов подвергался манипуляции до и после заимствования, что позволило эксплоитеру вывести завышенную сумму DOLA.

1: Флэш-займ 27,000 WBTC через AAVE

2: Депозит 225 WBTC в crv3crypto с чеканкой 5,375 crv3crypto

3: Депозит 5,375 crv3crypto в Curve 3Crypto с чеканкой 4.906 yvCurve-3Crypto

4: Депозит 4,906 yvCurve-3Crypto в Inverse Finance в качестве коллатерала

5: Своп 26,775 WBTC на 75,403,376 USDT с целью манипуляции ценой коллатерала

6: Займ 10,133,949 DOLA, что намного больше нормального значения

7: Обратный своп 75,403,376 USDT на 26,626 WBTC

8: Своп 10,133,949 DOLA на 9,881,355 3Crv

9: Вывод 9,881,355 3Cry, чтобы получить 10,099,976 USDT

10: Своп 10,000,000 USDT на 451 WBTC

11: Выплата флэш-займа

Затем фонды были выведены из контракта и был произведен обмен на ЕТН, 1000 из которых вложили в Tornado Cash, и 68 остаются на адресе.

Адрес эксплоитера, на который поступили средства через Tornado Cash за 2 минуты до эксплоита: 0x7b792e49f640676b3706d666075e903b3a4deec6

Контракты, подвергшиеся эксплоиту: 0xf508c58ce37ce40a40997c715075172691f92e2d

Транзакция эксплоита: 0x958236…

Вывод 100 тысяч USDT из контракта: 0x3d2f86…

Вывод 53 WBTC ($1.1M) из контракта: 0x9959f8…

Peckshield еще больше запутал ситуацию после атаки, предположив, что вредоносная транзакция на самом деле была выполнена фронтранинговым ботом, который запустил транзакцию раньше эксплоитера.

Остальные не согласились с этим утверждением, потому как на адрес поступили средства, а потом добыча слишком быстро была отмыта через Tornado Cash. Не похоже на то, что мы имеем дело со случайной атакой. Однако, несложно представить себе такое развитие событий в будущем.

После двух атак в такой быстрой последовательности и при том, что плохой долг составляет больше половины из 20M TVL протокола, сможет ли Inverse пережить эту крипто-зиму?

Если вам нравится то, что мы делаем, мы будем благодарны за ваши пожертвования в наш грант Gitcoin.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.