Inverse Finance подверглась атаке со стороны Oracle в апреле 2022 года и потеряла активы на 15,6 миллиона долларов. На этот раз кибер-злоумышленники предприняли мгновенную кредитную атаку, в результате чего компания потеряла 1,26 миллиона долларов.

Inverse Finance — это протокол DeFi на основе Ethereum. Флэш-кредит, с другой стороны, является часто используемой транзакцией криптовалютного кредита (кредита) на платформе. Однако в большинстве случаев крипто деньги берутся взаймы и депонируются в рамках одной транзакции, а иногда для получения информации о цене от «Oracle» оказывается внешняя поддержка.

В последней атаке кибер-злоумышленники использовали флэш-кредит для манипулирования ценой Oracle на токен поставщика ликвидности (LP), используемый реализацией денежного рынка протокола. Это позволило злоумышленнику занять большую сумму, чем стабильная монета протокола Dola (DOLA), и присвоить себе разницу.

Аналогичная атака произошла 2 апреля 2022 года. Злоумышленники вновь провели атаку на Oracle и похитили средства на сумму 15,6 млн долларов. В первой атаке злоумышленники манипулировали ценами защищенных токенов через Oracle, используя завышенные цены и выводя средства других пользователей.

После новой атаки Inverse Finance остановил систему займов для расследования инцидента и удалил стейблкоин DOLA с рынка. В своем заявлении в Twitter он пояснил, что средства пользователей не были украдены и риск кражи отсутствует.
После расследований выяснилось, что от атаки пострадал только залог, депонированный кибер-злоумышленниками, и система осталась в долгу только перед самой собой из-за украденного DOLA. Inverse Finance предложила хакеру огромное вознаграждение за возврат украденных средств.

В ходе атаки злоумышленники украли 99 976 долларов США и 53,2 wBTC. Украденные активы были конвертированы в ETH и отправлены на неизвестный адрес через Tornado Cash, так что их следы были потеряны.

Подробности атаки на Inverse Finance.

Компания Blockchain Security BlockSec расследовала атаку и поделилась подробностями. Согласно исследованию, кибер-злоумышленник получил 27 000 wBTC в виде мгновенного кредита. Затем он конвертировал небольшую сумму полученного кредита в токены LP в качестве обеспечения Inverse Finance. Конвертировал оставшиеся wBTC в USDT, что значительно увеличило стоимость токена LP в Oracle. С ростом стоимости токена LP злоумышленник занял больше стейблкоинов DOLA, чем обычно.

Кибер-злоумышленник, который занял больше DOLA, чем вложил в качестве залога, конвертировал излишки DOLA, которые у него были, в USDT. Он также выплатил свой первый быстрый кредит, изменив первоначальную конвертацию wBTC в USDT. Это оставило ему дополнительные 1,2 миллиона долларов, которые он конвертировал из DOLA в USDT.