Apenas dos meses después de perder 15,6 millones de dólares en un exploit de manipulación del oráculo de precios, Inverse Finance se vio nuevamente afectada por un exploit de préstamo relámpago que hizo que los atacantes se llevaran 1,26 millones de dólares en Tether (USDT) y Wrapped Bitcoin (wBTC).
Inverse Finance es un protocolo de finanzas descentralizadas (DeFi) basado en Ethereum y un préstamo flash es un tipo de préstamo criptográfico que generalmente se toma prestado y se devuelve en una sola transacción. Los oráculos reportan información de precios externa.
El último exploit funcionó mediante el uso de un préstamo flash para manipular el oráculo de precios para un token de proveedor de liquidez (LP) utilizado por la aplicación del mercado monetario del protocolo. Esto permitió al atacante tomar prestada una cantidad mayor de la moneda estable del protocolo, Dola (DOLA), que la cantidad de garantía que enviaron, lo que les permitió embolsarse la diferencia.
El ataque se produce poco más de dos meses después de un 2 de abril similar. explotaren el que los atacantes manipularon artificialmente los precios de los tokens garantizados a través de un oráculo de precios para drenar fondos utilizando los precios inflados.
En respuesta al ataque, Inverse Finance detuvo temporalmente los préstamos y eliminó a DOLA del mercado monetario mientras investigaba el incidente, diciendo que los fondos de los usuarios no estaban en riesgo.
Inverse ha pausado temporalmente los préstamos luego de un incidente esta mañana en el que se eliminó DOLA de nuestro mercado monetario, Frontier. Estamos investigando el incidente, sin embargo, no se tomaron fondos de los usuarios ni estuvieron en riesgo. Estamos investigando y proporcionaremos más detalles pronto.
— Inverso+ (@InverseFinance) 16 de junio de 2022
Eso mas tarde confirmado que solo la garantía depositada por el atacante se vio afectada en el incidente y solo contrajo una deuda consigo mismo debido a la DOLA robada. Animó al atacante a devolver los fondos a cambio de una “recompensa generosa”.
Relacionado: Los atacantes saquean $ 5 millones de Osmosis en LP exploit, $ 2 millones devueltos poco después
En total, los atacantes ganaron 99.976 USDT y 53,2 wBTC del ataque, cambiándolos a ETH antes de enviarlo todo a través del mezclador de criptomonedas Tornado Cash, intentando ofuscar las ganancias mal habidas.
El anterior ataque en abril, los atacantes se llevaron 15,6 millones de dólares en Ether (ETH), wBTC, Yearn.Finance (YFI) y DOLA.
El mercado de DeFi, Deus Finance, sufrió una explotación similar en marzo, cuando los atacantes manipularon un emparejamiento de precios dentro de un oráculo que generó una ganancia de 200 000 Dai (DAI) y 1101,8 ETH, por un valor de más de USD 3 millones en ese momento.
Beanstalk Farms, un protocolo de moneda estable basado en crédito, perdió todos los $ 182 millones en garantía en un ataque de préstamo relámpago causado por dos propuestas de gobierno maliciosas, que al final, agotaron todos los fondos del protocolo.
Cómo ocurrió el último ataque
Empresa de seguridad de cadena de bloques BlockSec analizado que el atacante tomó prestados 27,000 wBTC en un préstamo rápido, intercambiando una pequeña cantidad por el token LP utilizado para publicar garantías en Inverse Finance para que los usuarios puedan tomar prestados criptoactivos.
El wBTC restante se cambió a USDT, lo que provocó que el precio del token LP garantizado del atacante aumentara significativamente a los ojos del oráculo de precios. Dado que el valor de estos tokens LP ahora vale mucho más debido al aumento del precio, el atacante tomó prestada una cantidad mayor de lo habitual de la moneda estable DOLA.
El valor de DOLA valía mucho más que la garantía depositada, por lo que el atacante intercambió DOLA a USDT, y el intercambio anterior de wBTC a USDT se revirtió para pagar el préstamo flash original.