Le prêteur DeFi Inverse Finance exploité pour 15,6 millions de dollars

Le protocole de prêt basé sur Ethereum Inverse Finance (INV) a déclaré samedi avoir été victime d'un exploit, un attaquant ayant récupéré 15,6 millions de dollars de Cryptomonnaie volée.

Selon Inverse, l'attaquant a ciblé son marché monétaire Anchor, manipulant artificiellement les prix des jetons pour emprunter contre des garanties extrêmement faibles.

Il s'agit du troisième piratage de plusieurs millions de dollars d'un protocole de Finance décentralisée (DeFi) à faire la une des journaux cette semaine, et cela illustre la sophistication croissante des techniques employées par les attaquants. Mardi, le réseau Ronin, spécialisé dans les jeux vidéo, a été victime d'un piratage. annoncé Une perte de plus de 625 millions de dollars en Crypto. Deux jours plus tard, le protocole de prêt Ola Finance ditil a été exploité pour 3,6 millions de dollars.

Selon une société de sécurité blockchainPeckShield, l'attaquant Inverse a profité d'une vulnérabilité dans unOracle des prix Keep3rInverse est utilisé pour suivre le cours des jetons. L'attaquant a trompé l'oracle en lui faisant croire que le prix du jeton INV d'Inverse était exceptionnellement élevé, puis a contracté des prêts de plusieurs millions de dollars sur Anchor en utilisant l'INV gonflé comme garantie.

L'attaque a été particulièrement bien financée ; pour la mener à bien, l'attaquant a d'abord retiré 901 ETH (environ 3 millions de dollars) de Tornade Cash, qui permet de distribuer des Crypto sans laisser de traces claires. L'attaquant a ensuite injecté les fonds mystérieux dans plusieurs paires de trading sur le échange décentralisé Sushiswap – gonfler le prix de l’INV aux yeux de l’oracle des prix Keep3r.

Le prix de l'INV étant suffisamment élevé, l'attaquant a ensuite contracté des prêts garantis par l'INV sur Anchor avant que les arbitragistes ne ramènent le prix de l'INV à des niveaux normaux.

Un représentant de PeckShield a fait remarquer à CoinDesk que l'attaque était à haut risque car les 3 millions de dollars de Crypto utilisés pour tromper l'oracle des prix auraient été complètement perdus si le prix de l'INV retombait à des niveaux normaux avant que l'attaquant ne contracte les prêts.

Au total, l'attaquant a réussi à s'enfuir avec 1 588 ETH, 94 WBTC, 39 YFI et 3 999 669 DOLA. L'attaquant a réinjecté la majeure partie des fonds via Tornado Cash – il est donc difficile de savoir où ils finiront – mais il reste 73,5 ETH (environ 250 000 $) dans son compte initial. Portefeuille Ethereum.

Inverse a déclaré dans son annonce avoir temporairement suspendu tous les emprunts sur Anchor, et un représentant du protocole a déclaré à CoinDesk qu'il travaillait avec Chainlink pour créer un nouvel oracle INV.

Inverse a également annoncé son intention de faire une proposition à son organisation autonome décentralisée (DAO) pour « garantir que tous les portefeuilles impactés par la manipulation des prix soient remboursés à 100 %, sans toutefois fournir plus de détails.