Apenas dos meses después de perder $15.6 millones en un exploit de manipulación de oráculos de precios, Inverse Finance ha sido golpeado nuevamente con un exploit de préstamo flash que vio a los atacantes obtener $1.26 millones en Tether (USDT) y Wrapped Bitcoin (wBTC).

Inverse Finance es un protocolo de finanzas descentralizadas (DeFi) basado en Ethereum y un préstamo flash es un tipo de préstamo criptográfico que generalmente se toma prestado y se devuelve dentro de una sola transacción. Los oráculos reportan información de precios externa.

El último exploit funcionó mediante el uso de un préstamo flash para manipular el oráculo de precios para un token de proveedor de liquidez (LP) utilizado por la aplicación del mercado monetario del protocolo. Esto permitió al atacante pedir prestada una cantidad mayor de la stablecoin del protocolo, Dola (DOLA), que la cantidad de garantía que publicaron, lo que les permitió embolsarse la diferencia.

El ataque se produce poco más de dos meses después de un exploit similar del 2 de abril, en el que los atacantes manipularon artificialmente los precios de los tokens colateralizados a través de un oráculo de precios para drenar fondos utilizando los precios inflados.

En respuesta al ataque, Inverse Finance detuvo temporalmente los préstamos y eliminó DOLA del mercado monetario mientras investigaba el incidente, diciendo que no había fondos de usuarios en riesgo.

Inverse has temporarily paused borrows following an incident this morning where DOLA was removed from our money market, Frontier. We are investigating the incident however no user funds were taken or were at risk. We are investigating and will provide more details soon.

— Inverse+ (@InverseFinance) June 16, 2022

Más tarde confirmó que solo la garantía depositada del atacante se vio afectada en el incidente y solo incurrió en una deuda consigo misma debido al DOLA robado. Alentó al atacante a devolver los fondos a cambio de una «generosa recompensa».

En total, los atacantes ganaron 99,976 USDT y 53.2 wBTC del ataque, intercambiándolos a ETH antes de enviarlo todo a través del mezclador de criptomonedas Tornado Cash, tratando de ofuscar las ganancias mal habidas.

El ataque anterior en abril vio a los atacantes obtener $15.6 millones en Ether (ETH), wBTC, Yearn.Finance (YFI) y DOLA.

El mercado DeFi Deus Finance sufrió un exploit similar en marzo, con atacantes manipulando un emparejamiento de precios dentro de un oráculo que llevó a una ganancia de 200,000 Dai (DAI) y 1101.8 ETH, por un valor de más de $3 millones en ese momento.

Beanstalk Farms, un protocolo de stablecoin basado en el crédito, perdió todos los $182 millones en garantías en un ataque de préstamo flash causado por dos propuestas de gobierno maliciosas, que al final, drenaron todos los fondos del protocolo.

Cómo cayó el último ataque

La firma de seguridad Blockchain BlockSec analizó que el atacante tomó prestados 27,000 wBTC en un préstamo flash, intercambiando una pequeña cantidad al token LP utilizado para publicar garantías en Inverse Finance para que los usuarios puedan pedir prestados criptoactivos.

El wBTC restante se intercambió a USDT, lo que provocó que el precio del token LP colateralizado del atacante aumentara significativamente a los ojos del oráculo de precios. Con el valor de estos tokens LP ahora vale mucho más debido al aumento de precios, el atacante tomó prestada una cantidad mayor de lo habitual de la moneda estable DOLA.

El valor de la DOLA valía mucho más que la garantía depositada, por lo que el atacante cambió la DOLA a USDT, y el intercambio anterior de wBTC a USDT se revirtió para pagar el préstamo flash original.

Pagina Original:

Inverse Finance exploited again for $1.2M in flash loan oracle attack