Paano Pinagsamantalahan ang Deus Finance para sa $13.4M sa Fantom
Ang pag-atake, na gumamit ng flash loan, ay ang pangalawa sa loob ng dalawang buwan.
Decentralized Finance (DeFi) application Deus Finance ay pinagsamantalahan sa pangalawang pagkakataon sa loob ng dalawang buwan, kung saan ang attacker ay nakakuha ng higit sa $13.4 milyon ng Cryptocurrency sa unang bahagi ng mga oras ng Asia ngayon, sinabi ng mga security researcher sa PeckShield sa isang tweet . Ang pagsasamantala ay naganap sa Fantom Network.
- Pinapayagan ng Deus ang mga developer na bumuo ng mga serbisyong pinansyal tulad ng futures trading, pagpapautang at mga opsyon sa platform nito. (Disclosure: Ang manunulat ng ulat na ito ay isang tagapagbigay ng pagkatubig para sa Deus sa Ethereum, Fantom at BNB Chain.)
- Gumamit ng flash loan ang attacker para linlangin ang paraan ng pagbabasa ng data ng mga smart contract ni Deus sa mga liquidity pool ng platform. Pinahintulutan nito ang umaatake na artipisyal na palakihin ang halaga ng ilang asset, humiram ng mga pondo at kumita pagkatapos bayaran ang utang.
- Ilang $143 milyon ang hiniram bilang isangflash loan , lumalabas ang data ng blockchain. Nagawa ng hacker na kumita ng $13.4 milyon. Sinabi ni PeckShield na ang kabuuang pagkalugi sa protocol ay maaaring mas mataas.
- Ang Deus ecosystem ay binubuo ng dalawang token: DEUS at DEI. Ang DEUS ay ang token ng pamamahala sa platform. Ang Minting DEI, isang stablecoin na naka-pegged 1:1 sa US dollar, ay sumunog sa DEUS, at ang pag-redeem ng DEI ay nagmints ng DEUS, ayon sa mga dokumento ng developer .
- Ang pagsasamantala noong Huwebes ay ang pangalawa sa loob ng dalawang buwan sa protocol, na inatake sa katulad na paraan noong Marso para sa $3 milyon.
Paano naganap ang pag-atake
Gamit ang flash loan, nagawang pansamantalang manipulahin ng mga attacker ni Deus ang mga presyo sa isang liquidity pool na binubuo ng USD Coin (USDC) stablecoin at DEI, at ginamit ang manipuladong presyo ng DEI para humiram at maubos ang pool.
Binibigyang-daan ng mga flash loan ang mga user ng DeFi na kumuha ng milyun-milyong dolyar bilang loan laban sa zero collateral. T ito Crypto magic o libreng pera: Ang utang ay dapat bayaran bago matapos ang transaksyon o binabaligtad ng matalinong kontrata ang transaksyon – na parang hindi umiral ang loan.
Sa kabilang banda, ang mga liquidity pool, tulad ng USDC at DEI pool sa Deus, ay umaasa sa tinatawag na mga orakulo upang matiyak na tama ang presyo ng mga ito sa lahat ng oras at ang anumang paghiram ay nasa loob ng mga limitasyon na T lalampas sa kabuuang halaga ng mga pool na iyon. . Ang Oracles ay mga tool na nakabatay sa blockchain na nagbibigay ng mga matalinong kontrata na may pinagkakatiwalaang panlabas na impormasyon. Kinakailangan ang mga ito dahil ang mga blockchain ay maaaring walang pagbabagong mag-imbak ng data, ngunit T ma-verify kung tumpak ang input data.
Noong Huwebes, ang mga umaatake ay nakapaglabas ng flash loan na mahigit 143 milyong USDC, at ginamit iyon upang magpalit ng 9.5 milyong DEI, ayon sa PeckShield . Naging sanhi ito ng biglang naging mas mahal ang presyo ng DEI kaysa sa karaniwang halaga ng palitan na $1.
Pagkatapos ay gumamit ang umatake ng humigit-kumulang 71,000 DEI para humiram ng mahigit 17.2 milyong DEI gamit ang mga manipuladong presyo. Ang flash loan ay binayaran, at ang umatake ay nakapagbulsa ng $13.4 milyon.
Bumagsak ang mga presyo ng DEUS ng 16.5% sa nakalipas na 24 na oras, ipinapakita ng data ng CoinGecko. Ang bulto ng mga pagkalugi na ito ay dumating pagkatapos na isapubliko ang pagsasamantala. Hindi tumugon si Deus sa isang Request para sa komento sa oras ng publikasyon.