Inverse Finance теряет 15,6 млн долларов

Это третья многомиллионная криптоатака, попавшая в заголовки газет за последние дни.

Протокол кредитования на основе Ethereum, Inverse Finance (INV) заявил в субботу, что он пострадал от эксплойта, когда злоумышленник получил украденную криптовалюту на сумму 15,6 миллиона долларов.

Согласно Inverse, злоумышленник нацелился на денежный рынок Anchor (ANC), искусственно манипулируя ценами на токены, чтобы брать кредиты под крайне низкий залог.

Это третий многомиллионный взлом протокола децентрализованных финансов (DeFi), который попал в заголовки новостей на этой неделе, и он подчеркивает все более изощренные методы, используемые злоумышленниками. Во вторник сеть Ronin, ориентированная на игры, объявила о потере более 625 миллионов долларов в криптовалюте, а затем, два дня спустя, протокол кредитования Ola Finance сообщил, что она была взломана на 3,6 миллиона долларов.

По данным компании по безопасности блокчейна PeckShield, злоумышленник Inverse воспользовался уязвимостью в ценовом оракуле Keep3r, который Inverse использует для отслеживания цен на токены.

Злоумышленник обманул оракула, заставив его подумать, что цена токена Inverse INV чрезвычайно высока, а затем взял многомиллионные кредиты на Anchor, используя завышенный INV в качестве залога.

Атака была хорошо профинансирована; чтобы осуществить это, злоумышленник сначала снял 901 ETH (около 3 миллионов долларов) из Tornado Cash, который используется для выплаты криптовалюты, не оставляя четкого следа. Затем злоумышленник ввел таинственные средства в несколько торговых пар на децентрализованной бирже SushiSwap, завысив цену INV в глазах ценового оракула Keep3r.

Поскольку цена INV была достаточно высокой, злоумышленник затем взял кредиты, обеспеченные INV, на Anchor, прежде чем арбитражеры вернули цену INV к нормальному уровню.

Представитель PeckShield отметил для CoinDesk, что атака была сопряжена с высоким риском, поскольку криптовалюта на сумму 3 миллиона долларов, использованная для обмана ценового оракула, была бы полностью потеряна, если бы цена INV упала до нормального уровня до того, как злоумышленник взял кредиты.

В общей сложности злоумышленнику удалось уйти с 1 588 ETH, 94 WBTC, 39 YFI и 3 999 669 DOLA. Злоумышленник перевел большую часть средств обратно через Tornado Cash, а это означает, что трудно понять, где средства окажутся, но 73,5 ETH (около 250 000 долларов США) остаются в исходном кошельке Ethereum злоумышленника.

В своем объявлении Inverse заявила, что временно приостановила все заимствования на Anchor, а представитель протокола сообщил CoinDesk, что он работает с Chainlink над созданием нового оракула INV.

Inverse также объявила, что планирует сделать предложение своей децентрализованной автономной организации (DAO), чтобы «гарантировать, что все кошельки, затронутые манипулированием ценами, будут возмещены на 100%», но без предоставления дополнительных подробностей.