Cómo se explotó Deus Finanzas por 13,4 millones de dólares en Fantom
El ataque, que utilizó un préstamo rápido, fue el segundo en dos meses.
La aplicación de Finanzas descentralizadas (DeFi) Deus Finanzas fue explotada por segunda vez en dos meses, y el atacante obtuvo más de 13,4 millones de dólares en Criptomonedas en las primeras horas de Asia hoy, dijeron investigadores de seguridad de PeckShield en un tweet . El exploit ocurrió en Fantom Network.
- Deus permite a los desarrolladores crear servicios financieros como comercio de futuros, préstamos y opciones en su plataforma. (Aviso legal: el autor de este informe es un proveedor de liquidez para Deus en Ethereum, Fantom y BNB Chain).
- El atacante utilizó un préstamo rápido para engañar la forma en que los contratos inteligentes de Deus leen datos sobre los fondos de liquidez de la plataforma. Esto permitió al atacante inflar artificialmente el valor de algunos activos, tomar prestados fondos y obtener ganancias después de pagar el préstamo.
- Se pidieron prestados unos 143 millones de dólares comopréstamo rápido , según parecen mostrar los datos de blockchain. El hacker consiguió unos beneficios de 13,4 millones de dólares. PeckShield dijo que las pérdidas totales del protocolo podrían ser mucho mayores.
- El ecosistema Deus comprende dos tokens: DEUS y DEI. DEUS es el token de gobernanza de la plataforma. La acuñación de DEI, una moneda estable vinculada 1:1 al dólar estadounidense, quema DEUS, y el canje de DEI acuña DEUS, según documentos del desarrollador .
- El exploit del jueves fue el segundo en dos meses en el protocolo, que fue atacado de manera similar en marzo por 3 millones de dólares.
Cómo se produjo el ataque
Utilizando el préstamo rápido, los atacantes de Deus pudieron manipular temporalmente los precios de un fondo de liquidez que constaba de la USD Coin (USDC) y DEI, y utilizar el precio manipulado de DEI para pedir prestado y vaciar el fondo.
Los préstamos flash permiten a los usuarios de DeFi obtener millones de dólares como préstamo sin garantía. Esto no es Cripto ni dinero gratis: el préstamo debe reembolsarse antes de que finalice la transacción o el contrato inteligente revierte la transacción, como si el préstamo nunca hubiera existido.
Por otro lado, los fondos de liquidez, como el USDC y el DEI en Deus, dependen de los llamados oráculos para garantizar que tengan el precio correcto en todo momento y que cualquier endeudamiento esté dentro de límites que no excedan el valor total de esos fondos. . Los oráculos son herramientas basadas en blockchain que proporcionan contratos inteligentes con información externa confiable. Estos son necesarios porque las cadenas de bloques pueden almacenar datos de forma inmutable, pero no pueden verificar si los datos de entrada son precisos.
El jueves, los atacantes pudieron obtener un préstamo rápido de más de 143 millones de USDC y lo utilizaron para intercambiar 9,5 millones de DEI, según PeckShield . Esto provocó que el precio de DEI se volviera repentinamente más caro que el tipo de cambio habitual de 1 dólar.
Luego, el atacante utilizó unos 71.000 DEI para pedir prestados más de 17,2 millones de DEI utilizando precios manipulados. El préstamo fue reembolsado y el atacante logró embolsarse 13,4 millones de dólares.
Los precios de DEUS cayeron un 16,5% en las últimas 24 horas, según muestran los datos de CoinGecko. La mayor parte de estas pérdidas se produjeron después de que se hiciera público el exploit. Deus no había respondido a una Request de comentarios al momento de la publicación.