16月XNUMX日逆向金融再遭重创 攻击,利用预言机价格操纵漏洞,黑客窃取了约 1.3 万美元,并导致协议损失 5.8 万美元。
区块链安全公司 PeckShield 在一系列推文中披露了该事件的细节。
4/ 发起黑客攻击的初始资金(1 ETH)从 @龙卷风现金。目前,68个ETH的非法收益仍留在黑客账户中 https://t.co/lEA5jmsGXZ…并且 1000 ETH 已存入 @龙卷风现金 pic.twitter.com/fkhCdkAyvM
- PeckShield Inc.(@peckshield) 2022 年 6 月 16 日
最近的这次攻击是两个月内针对 DeFi 协议的第二次攻击。 15.6 月初,Inverse Finance 遭受攻击,导致损失 XNUMX 万美元。
漏洞利用
全面 报告 此次攻击的详细情况随后发布在逆向金融网站上。
该报告解释说,该漏洞发生在 yvcrv3crypto 市场上,该市场使用 Chainlink 价格数据而不是 Curve 协议的内部汇率。
Inverse Finance 表示,价格差异使黑客能够获得 27,000 个 Wrapped Bitcoin (wBTC) 的闪电贷,这是 WBTC 的修改版本。 比特币 ,价格相同,但可以在以太坊上使用(ETH)网络。
然后,攻击者将 wBTC 交易到三加密池中,导致价格预言机上 yvcrv3crypto LP 代币的价格飙升,并允许黑客在 Inverse FInance 的 Frontier 平台上用该抵押品借入 DOLA(Inverse FInance 的稳定币)。
PeckShield 使用 Etherscan 数据在推文中表示,被盗金额中的 68 ETH 仍在黑客手中,1,000 ETH 已存入 Tornado Cash,这是一种加密货币混合器,混合了不同的潜在可识别加密货币流,以增加匿名性并使交易变得更加困难追踪。
Inverse FInance 表示,用户存入的抵押品没有受到黑客攻击的影响,但指出 Frontier Fed、Inverse Finance DAO 产生了 5.8 万美元的 DOLA 坏账。这还不包括 3.8 月份黑客攻击造成的大约 XNUMX 万美元的 DOLA 债务。
DeFi 协议补充说,由于没有个人用户受到该事件的直接影响,因此无需更改其针对 4 月份事件影响的用户的补偿计划。
逆向金融承诺采取一系列行动
Inverse Finance 详细介绍了一系列安全措施,其中包括收回资金并确保 DeFi 平台额外安全的计划。
其中包括公开呼吁黑客返还资金以获得“慷慨的赏金”。此外,DAO 承诺向任何愿意帮助追回资金并获得奖励的人提供攻击数据。
Inverse FInance 表示,它获得了安全专家团队 RiskDAO 的服务来调查此次攻击,并正在招聘额外的安全运营人员。
最后,Inverse Finance 已暂停 Frontier 平台上所有资产的借贷,但预计仅使用 Chainlink 和 INV 的资产借贷将很快恢复。
来源:https://cryptoslate.com/inverse-finance-suffers-another-attack-hacker-steals-1-3-million-causes-5-8-million-protocol-loss/