Ethereum tabanlı borç verme protokolü Inverse Finance (INV), Cumartesi günü yaptığı açıklamada, bir saldırganın 15.6 milyon dolar değerinde çalınan kripto para birimini netleştirmesiyle bir istismardan muzdarip olduğunu söyledi.
Inverse’e göre, saldırgan Anchor (ANC) para piyasasını hedef aldı – son derece düşük teminat karşılığında kredi almak için token fiyatlarını yapay olarak manipüle etti.
Bu, merkezi olmayan bir finans (DeFi) protokolünün bu hafta manşetlere çıkan üçüncü multi-milyon dolarlık hack’i ve saldırganlar tarafından giderek daha karmaşık hale getirilen tekniklerin altını çiziyor. Salı günü oyun odaklı Ronin ağı, kriptoda 625 milyon dolardan fazla bir kayıp olduğunu duyurdu ve ardından iki gün sonra borç verme protokolü Ola Finance, 3.6 milyon dolar için istismar edildiğini söyledi.
Blockchain güvenlik firması PeckShield’e göre, Inverse saldırganı, Inverse’in token fiyatlarını izlemek için kullandığı bir Keep3r fiyat oracle’ındaki bir güvenlik açığından yararlandı. Saldırgan, Inverse’in INV tokeninin fiyatının olağanüstü yüksek olduğunu düşünmesi için kahini kandırdı ve ardından, şişirilmiş INV’yi teminat olarak kullanarak Anchor’dan multi-milyon dolarlık krediler aldı.
Saldırı özellikle iyi finanse edildi; Saldırgan bunu başarmak için önce, net bir iz bırakmadan kripto para dağıtmak için kullanılan Tornado Cash’ten 901ETH (~3 milyon $) çekti. Saldırgan daha sonra gizemli fonları merkezi olmayan borsa SushiSwap’taki birkaç işlem çiftine enjekte etti – Keep3r fiyat kahini gözünde INV’nin fiyatını şişirdi.
INV’nin fiyatı yeterince yüksek olduğunda, saldırgan, arbitrajörler INV’nin fiyatını normal seviyelere geri getirmeden önce Anchor’da INV destekli krediler aldı.
PeckShield’den bir temsilci CoinDesk’e saldırının yüksek riskli olduğunu belirtti, çünkü fiyat kahini kandırmak için kullanılan 3 milyon dolarlık kripto para, saldırgan kredileri almadan önce INV’nin fiyatı normal seviyelere geri dönerse tamamen kaybolacaktı. .
Saldırgan toplamda 1588 ETH, 94 WBTC, 39 YFI ve 3.999.669 DOLA ile kaçmayı başardı. Saldırgan, paranın çoğunu Tornado Cash aracılığıyla geri çevirdi – yani fonların nereye varacağını bilmek zor – ancak saldırganın orijinal Ethereum cüzdanında 73,5 ETH (~ 250 bin dolar) kalıyor.
Inverse, duyurusunda Anchor’daki tüm borçlanmayı geçici olarak duraklattığını söyledi ve protokol temsilcisi CoinDesk’e yeni bir INV oracle oluşturmak için Chainlink ile çalıştığını söyledi.
Inverse ayrıca, daha fazla ayrıntı vermeden, “fiyat manipülasyonundan etkilenen tüm cüzdanların %100 geri ödenmesini sağlamak” için merkezi olmayan özerk organizasyonuna (DAO) bir teklifte bulunmayı planladığını duyurdu.
