INVERSE FINANCE - REKT 2

Inverse bir kez daha ters yüz.

Protokol, anonim saldırgana 1,2 milyon dolar kaptırırken, kendisi toplamda 5,8 milyon dolar zarara uğradı.

Bu olay, sadece iki ay önce bir fiyat manipülasyon saldırısından 15 milyon dolar kaybeden Inverse Finance için ikinci lider tablosu girişi.

Şimdi, başka bir oracle manipülasyonu protokolün DOLA borç verme piyasasını da vurdu, Risk DAO panosuna göre şu anda 10,63 milyon dolarlık batık kredi var.

Peckshield, istismar hakkında ilk tweet atma şansını yakaladı, ancak fonlar hala risk altındayken güvenlik açığını ifşa ettiği için kamuoyundan tepki alınca duyurularını sildi.

Inverse Finance olayı açıkladı ve şunları söyledi:

“hiçbir kullanıcı fonu çalınmadı veya risk altına girmedi.”

Kaynak: Peckshield

Saldırgan, teminat olarak kullanılan yvcrv3Crypto fiyatlandırmasını manipüle edebildi. Inverse oracle’ı, “LP token fiyatını doğrudan hesaplamak için havuzdaki varlıkların bakiyelerini istismar amaçlı kullandı.”

Dayanak havuz üzerinden büyük takaslar yapmak için flash loan olarak verilen WBTC kullanılarak, varlıkların dengesi borçlanmadan önce ve sonra manipüle edildi ve istismarcının şişirilmiş miktarda DOLA çekmesine izin verildi.

1: AAVE üzerinden 27.000 WBTC Flash loan kullan

2: 225 WBTC yatırarak 5.375 crv3crypto mint et

3: 5.375 crv3crypto yatırarak 4.906 yvCurve-3Crypto mint et

4: Teminat olarak Inverse Finance’e 4.906 yvCurve-3Crypto yatır

5: Teminat fiyatını değiştirmek için 26.775 WBTC'yi 75.403.376 USDT ile swapla

6: Normal koşullardan çok daha fazla olan 10.133.949 DOLA’yı ödünç al

7: 75.403.376 USDT ile 26.626 WBTC arasında tersine swap yap

8: 10.133.949 DOLA'yı 9.881.355 3Crv ile swapla

9: 9.881.355 3Crv'den 10.099.976'yı USDT olarak çıkar

10: 10.000.000 USDT'yi 451 WBTC ile swapla

11: Flashloan’ı geri öde

Fonlar daha sonra kontrattan çekildi ve 1000'i Tornado Cash'e yatırılan ve 68'i adreste kalan ETH’e swap edildi.

İstismarcının adresi, istismardan 2 dakika önce Tornado Cash ile finanse edildi: 0x7b792e49f640676b3706d666075e903b3a4deec6

İstismarın kontratı: 0xf508c58ce37ce40a40997c715075172691f92e2d

İstismar işlemi: 0x958236…

Kontrattan 100k USDT çekilmesi: 0x3d2f86…

Kontrattan 53 WBTC (1,1 milyon dolar) çekilmesi: 0x9959f8…

Peckshield, kötü amaçlı işlemin aslında işlemi istismarcıdan önce yakalayan, önden çalışan bir bot tarafından yürütüldüğünü öne sürerek saldırıdan sonra meseleleri daha da karıştırdı.

Adres Tornado Cash üzerinden finanse edilip ardından da ganimet çok hızlı bir şekilde yine Tornado Cash’te aklandığından diğerleri bu iddiaya katılmadı. Şans eseri yakalanmış bir saldırıyla karşı karşıya olmamız pek olası görünmüyor, ancak gelecekte böyle bir olay akışını hayal etmek zor değil.

Bu kadar kısa sürede birbirini takip eden iki saldırıdan sonra ve protokolün 20 milyon TVL'inin yarıdan fazlasını oluşturan batık krediyle, Inverse bu kripto kışında acaba hayatta kalabilecek mi?

Çalışmalarımızı beğeniyorsanız, lütfen Gitcoin Grant ile bağışta bulunun.

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.