Ընդամենը երկու ամիս անց, երբ կորցրեց 15.6 միլիոն դոլար գների մանիպուլյացիայի արդյունքում, Inverse Finance-ը կրկին հարվածեց. ֆլեշ վարկ շահագործումը, որի արդյունքում հարձակվողները շահեցին Tether-ում 1.26 միլիոն դոլարով (USDT) և փաթաթված բիթքոյն (wBTC):
Inverse Finance-ը Ethereum-ի վրա հիմնված ապակենտրոնացված ֆինանսական (DeFi) արձանագրություն է, իսկ ֆլեշ վարկը կրիպտո վարկի տեսակ է, որը սովորաբար փոխառվում և վերադարձվում է մեկ գործարքի ընթացքում: Oracles-ը զեկուցում է արտաքին գնային տեղեկատվություն:
Վերջին շահագործումն աշխատում էր ֆլեշ վարկի միջոցով՝ շահարկելով իրացվելիության մատակարարի (LP) նշանի գների օրակուլը, որն օգտագործվում էր արձանագրության դրամական շուկայի հավելվածում: Սա թույլ է տվել հարձակվողին ավելի մեծ գումար վերցնել արձանագրության կայուն մետաղադրամի՝ Dola-ից (DOLA), քան գրավի գումարը, որը նրանք փակցրել են՝ թույլ տալով նրանց գրպանել տարբերությունը:
Հարձակումը տեղի է ունեցել նմանատիպ ապրիլի 2-ից երկու ամիս անց սխրագործություն, որը տեսավ, որ հարձակվողները արհեստականորեն շահարկում են գրավադրված նշանների գները գների օրակլի միջոցով՝ ուռճացված գներով միջոցները սպառելու համար:
Ի պատասխան հարձակման, Inverse Finance-ը ժամանակավորապես դադարեցրեց փոխառությունները և հեռացրեց DOLA-ն դրամական շուկայից, մինչդեռ այն: հետաքննել է միջադեպը, ասելով, որ ոչ մի օգտագործողի միջոցներ վտանգի տակ չեն:
Inverse-ը ժամանակավորապես դադարեցրել է փոխառությունները՝ այս առավոտ տեղի ունեցած միջադեպից հետո, երբ DOLA-ն հեռացվեց մեր դրամական շուկայից՝ Frontier-ից: Մենք հետաքննում ենք միջադեպը, սակայն օգտատերերի միջոցներ չեն վերցվել կամ վտանգի տակ չեն եղել: Մենք ուսումնասիրում ենք և շուտով կներկայացնենք լրացուցիչ մանրամասներ:
— Inverse+ (@InverseFinance) Հունիսի 16, 2022
Այն ավելի ուշ հաստատել որ միջադեպի արդյունքում տուժել է միայն հարձակվողի գրավադրված գրավը և միայն իրեն պարտք է գողացված DOLA-ի պատճառով: Այն հարձակվողին խրախուսել է վերադարձնել դրամական միջոցները «առատաձեռն պարգևի» դիմաց։
Ընդհանուր առմամբ, հարձակվողները հարձակման արդյունքում ձեռք են բերել 99,976 USDT և 53.2 wBTC՝ դրանք փոխանակելով ETH-ին, նախքան այդ ամենը ուղարկելը կրիպտոարժույթների խառնիչ Tornado Cash-ի միջոցով՝ փորձելով խեղաթյուրել ապօրինի ձեռք բերված շահույթը:
Նախորդ հարձակում ապրիլին հարձակվողները 15.6 միլիոն դոլար գումար վաստակեցին Եթերի մեջ (ETH), wBTC, Yearn.Finance (YFI) և ԴՈԼԱ.
DeFi շուկա Deus Finance մարտին տուժել է նմանատիպ շահագործումից, երբ հարձակվողները շահարկում են գների զուգավորումը Oracle-ում, ինչը հանգեցնում է 200,000 Դայի շահույթի (DAI) և 1101.8 ETH, որն այն ժամանակ արժեր ավելի քան 3 միլիոն դոլար:
Beanstalk Farms, վարկի վրա հիմնված stablecoin արձանագրություն, կորցրել է ողջ 182 մլն դոլարի գրավը երկու չարամիտ կառավարման առաջարկներով առաջացած արագ վարկային հարձակման ժամանակ, որոնք, ի վերջո, սպառեցին արձանագրությունից բոլոր միջոցները:
Ինչպես կործանվեց վերջին հարձակումը
Blockchain անվտանգության ընկերությունը BlockSec վերլուծել որ հարձակվողը վարկ է վերցրել 27,000 wBTC արագ վարկի միջոցով՝ փոխանակելով մի փոքր գումար LP նշանով, որն օգտագործվում է Inverse Finance-ում գրավ տեղադրելու համար, որպեսզի օգտվողները կարողանան կրիպտո ակտիվներ վերցնել:
Մնացած wBTC-ն էր փոխանակվել է USDT-ով, պատճառելով, որ հարձակվողի գրավադրված LP նշանի գինը գների օրակլի աչքում զգալիորեն բարձրանա: Քանի որ այս LP նշանների արժեքն այժմ շատ ավելի մեծ է գնի բարձրացման պատճառով, հարձակվողը սովորականից ավելի մեծ գումար է վերցրել DOLA stablecoin-ից:
DOLA-ի արժեքը շատ ավելի արժեր, քան ավանդադրված գրավը, ուստի հարձակվողը DOLA-ն փոխանակեց USDT-ով, իսկ ավելի վաղ wBTC-ի փոխանակումը USDT-ի հետ փոխվեց սկզբնական ֆլեշ վարկի մարման համար:
Աղբյուր՝ https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack