by cryptoblog Sumber : Rekt News
gak ada habisnya memang hacker hacker ini ya guys.
Terbalik lagi.
$1,2 juta untuk penyerang anonim, dan $5,8 juta hilang secara keseluruhan.
Ini adalah entri papan peringkat kedua untuk Inverse Finance, yang juga kehilangan $15 juta karena serangan manipulasi harga dua bulan lalu.
Sekarang, manipulasi oracle lain telah menghantam pasar pinjaman DOLA protokol, yang menurut dasbor Risk DAO, sekarang memiliki utang macet sebesar $10,63 juta.
Peckshield melompat pada kesempatan untuk men-tweet tentang eksploitasi, tetapi menghapus pengumuman mereka setelah ditegur secara terbuka karena mengungkapkan kerentanan sementara dana masih berisiko.
Inverse Finance mengumumkan kejadian tersebut, dengan menyatakan bahwa:
“tidak ada dana pengguna yang diambil atau berisiko.”
Kredit: Peckshield
Penyerang dapat memanipulasi harga yvcrv3Crypto yang digunakan sebagai jaminan. Oracle Inverse “menyalahgunakan saldo aset di pool untuk secara langsung menghitung harga token LP.”
Dengan menggunakan WBTC pinjaman kilat untuk melakukan pertukaran besar melalui kumpulan yang mendasarinya, saldo aset dimanipulasi sebelum dan sesudah meminjam, memungkinkan pengeksploitasi untuk menarik jumlah DOLA yang meningkat.
1: Pinjaman Flash 27.000 WBTC melalui AAVE
2: Setor 225 WBTC ke crv3crypto dengan 5.375 crv3crypto dicetak
3: Setor 5.375 crv3crypto ke y Curve-3Crypto dengan 4.906 yvCurve-3Crypto dicetak
4: Setorkan 4.906 yvCurve-3Crypto ke Inverse Finance sebagai jaminan
5: Tukar 26.775 WBTC menjadi 75.403.376 USDT untuk memanipulasi harga jaminan
6: Pinjam 10.133.949 DOLA, yang sangat lebih dari biasanya
7: Tukar balik 75.403.376 USDT ke 26.626 WBTC
8: Tukar 10.133.949 DOLA ke 9.881.355 3Crv
9: Hapus 9.881.355 3Cry untuk mendapatkan 10.099.976 USDT
10: Tukar 10.000.000 USDT ke 451 WBTC
11: Bayar pinjaman flash
Dana kemudian ditarik dari kontrak dan ditukar ke ETH, 1000 di antaranya telah disetorkan ke Tornado Cash, dan 68 tetap di alamat.
Alamat Exploiter, didanai melalui Tornado Cash 2 menit sebelum exploit: 0x7b792e49f640676b3706d666075e903b3a4deec6
Eksploitasi kontrak: 0xf508c58ce37ce40a40997c715075172691f92e2d
Eksploitasi tx: 0x958236…
Penarikan 100rb USDT dari kontrak: 0x3d2f86…
Penarikan 53 WBTC ($1.1M) dari kontrak: 0x9959f8…
Peckshield semakin membingungkan masalah setelah serangan dengan menyarankan bahwa tx jahat sebenarnya telah dieksekusi oleh bot terdepan, yang telah menembak tx sebelum pengeksploitasi.
Yang lain tidak setuju dengan klaim itu, dan karena alamatnya didanai, dan kemudian jarahannya dicuci, melalui Tornado Cash begitu cepat. Tampaknya tidak mungkin kita menghadapi serangan yang tidak disengaja, namun, tidak sulit untuk membayangkan pergantian peristiwa seperti itu terjadi di masa depan.
Setelah dua peretasan berturut-turut yang begitu cepat, dan dengan utang macet yang mencapai lebih dari setengah dari 20 juta TVL protokol, akankah Inverse dapat bertahan di musim dingin kripto ini?
