在價格預言操縱漏洞損失1560 萬美元後僅兩個月,Inverse Finance 再次遭受閃電貸漏洞攻擊,攻擊者利用Tether (USDT) 和Wrapped Bitcoin (WBTC) 竊取了126 萬美元。
逆向金融是一種基於以太坊的去中心化金融(DeFi) 協議,而閃電貸是一種加密貨幣貸款,通常在單筆交易中藉入和歸還。預言機報告外部定價信息。
最新的利用通過使用閃電貸款來操縱協議貨幣市場應用程序使用的流動性提供者(LP) 代幣的價格預言。這使得攻擊者可以藉入比他們發布的質押品數量更多的協議穩定幣DOLA,從而讓他們將差額收入囊中。
這次攻擊發生在4 月2 日的一次類似攻擊之後兩個多月,攻擊者通過價格預言人為操縱質押代幣價格,以利用虛高的價格抽走資金。
為應對此次攻擊,Inverse Finance 在調查事件期間暫時暫停借貸並將其DOLA 穩定幣從貨幣市場撤出,稱沒有用戶資金處於危險之中。
在今天早上DOLA 從我們的貨幣市場Frontier 中移除的事件之後,Inverse 暫時暫停了借款。我們正在調查此事件,但沒有用戶資金被佔用或處於危險之中。我們正在調查並將很快提供更多細節。
— Inverse+ (@InverseFinance) 2022 年6 月16 日
它後來證實,只有攻擊者存放的質押品在事件中受到影響,並且僅因被盜的DOLA 而對自己產生了債務。它鼓勵攻擊者返還資金以換取“慷慨的賞金”。
攻擊者在LP 漏洞利用中從Osmosis 掠奪500 萬美元,200 萬美元不久後返還
攻擊者總共從攻擊中獲得了99,976 USDT 和53.2 WBTC,將它們交易所為ETH,然後通過加密貨幣混合器Tornado Cash 將其全部發送,試圖混淆不義之財。
在4 月份的上一次攻擊中,攻擊者用1560 萬美元的ETH、WBTC、YFI 和DOLA 進行了攻擊。
DeFi 市場Deus Finance 在3 月份遭受了類似的攻擊,攻擊者在預言機中操縱價格配對,導致當時獲得了200,000 Dai (DAI) 和1101.8 ETH 的收益,價值超過300 萬美元。
Beanstalk Farms 是一個基於信用的穩定幣協議,在一次閃電貸款攻擊中損失了全部價值1.82 億美元的質押品,這是由兩個惡意治理提議引起的,最終耗盡了協議的所有資金。
最近的攻擊是如何失敗的
區塊鏈安全公司BlockSec 分析說,攻擊者在一筆閃電貸中藉了27,000 WBTC,將少量兌換成用於在Inverse Finance 中發布質押品的LP 代幣,以便用戶可以藉入加密貨幣資產。
剩餘的WBTC 被換成了USDT,導致攻擊者質押的LP 代幣的價格在價格預言機眼中大幅上漲。由於價格上漲,這些LP 代幣的價值現在要高得多,攻擊者藉入了比平時更多的DOLA 穩定幣。
DOLA 的價值遠高於所存入的質押品,因此攻擊者將DOLA 兌換為USDT,並將之前的WBTC 兌換為USDT 的兌換被逆轉以償還原始的閃電貸款。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Jesse Coghlan所有,未經許可,不得轉載