Hanya dua bulan setelah kehilangan $ 15.6 juta dalam eksploitasi manipulasi oracle harga, Inverse Finance kembali dipukul dengan pinjaman kilat eksploitasi yang membuat penyerang menghasilkan $ 1.26 juta di Tether (USDT) dan Bitcoin Terbungkus (wBTC).
Inverse Finance adalah protokol keuangan terdesentralisasi (DeFi) berbasis Ethereum dan pinjaman kilat adalah jenis pinjaman kripto yang biasanya dipinjam dan dikembalikan dalam satu transaksi. Oracle melaporkan informasi harga di luar.
Eksploitasi terbaru bekerja dengan menggunakan pinjaman flash untuk memanipulasi oracle harga untuk token penyedia likuiditas (LP) yang digunakan oleh aplikasi pasar uang protokol. Hal ini memungkinkan penyerang untuk meminjam jumlah yang lebih besar dari stablecoin protokol, Dola (DOLA), daripada jumlah agunan yang mereka posting, membiarkan mereka mengantongi selisihnya.
Serangan itu terjadi lebih dari dua bulan setelah 2 April yang sama mengeksploitasi, yang melihat penyerang secara artifisial memanipulasi harga token yang dijaminkan melalui oracle harga untuk menguras dana menggunakan harga yang meningkat.
Menanggapi serangan tersebut, Inverse Finance untuk sementara menghentikan peminjaman dan menghapus DOLA dari pasar uang sementara itu menyelidiki insiden itu, mengatakan tidak ada dana pengguna yang berisiko.
Inverse telah menghentikan sementara pinjaman setelah insiden pagi ini di mana DOLA dihapus dari pasar uang kami, Frontier. Kami sedang menyelidiki insiden tersebut namun tidak ada dana pengguna yang diambil atau berisiko. Kami sedang menyelidiki dan akan memberikan rincian lebih lanjut segera.
— Invers+ (@InverseFinance) Juni 16, 2022
Nanti dikonfirmasi bahwa hanya agunan yang disimpan penyerang yang terpengaruh dalam insiden tersebut dan hanya menimbulkan hutang pada dirinya sendiri karena DOLA yang dicuri. Dia mendorong penyerang untuk mengembalikan dana sebagai imbalan atas "karunia yang murah hati."
Terkait: Penyerang menjarah $5M dari Osmosis di LP exploit, $2M segera dikembalikan
Secara total, penyerang memperoleh 99,976 USDT dan 53.2 wBTC dari serangan itu, menukarnya ke ETH sebelum mengirimkan semuanya melalui mixer cryptocurrency Tornado Cash, mencoba untuk mengaburkan keuntungan yang didapat secara tidak sah.
Sebelumnya menyerang pada bulan April melihat penyerang menghasilkan $ 15.6 juta dalam Ether (ETH), wBTC, Kerinduan.Keuangan (YFI) dan DOLA.
Pasar DeFi Deus Finance menderita eksploitasi serupa di bulan Maret, dengan penyerang memanipulasi pasangan harga dalam oracle yang menghasilkan keuntungan 200,000 Dai (DAI) dan 1101.8 ETH, bernilai lebih dari $3 juta pada saat itu.
Beanstalk Farms, protokol stablecoin berbasis kredit, kehilangan semua jaminan senilai $ 182 juta dalam serangan pinjaman kilat yang disebabkan oleh dua proposal tata kelola yang jahat, yang pada akhirnya menghabiskan semua dana dari protokol.
Bagaimana serangan terbaru turun
Perusahaan keamanan Blockchain BlockSec dianalisis bahwa penyerang meminjam 27,000 wBTC dalam pinjaman kilat, menukar sejumlah kecil ke token LP yang digunakan untuk mengirim agunan di Inverse Finance sehingga pengguna dapat meminjam aset kripto.
WBTC yang tersisa adalah ditukar ke USDT, menyebabkan harga token LP yang dijaminkan penyerang meningkat secara signifikan di mata oracle harga. Dengan nilai token LP ini sekarang bernilai jauh lebih tinggi karena kenaikan harga, penyerang meminjam jumlah yang lebih besar dari stablecoin DOLA biasanya.
Nilai DOLA jauh lebih berharga daripada jaminan yang disimpan, jadi penyerang menukar DOLA ke USDT, dan swap wBTC ke USDT sebelumnya dibalik untuk membayar pinjaman awal.
Sumber: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-Oracle-attack