Finance inverse du protocole DeFi exploitée pour 1,2 million de dollars
Les attaquants ont utilisé une attaque de prêt flash pour drainer le protocole open source de Bitcoin et Tether.
L'outil de Finance décentralisée (DeFi) basé sur Ethereum, Inverse Finance, a été exploité jeudi matin pour plus de 1,2 million de dollars de Cryptomonnaie , comme semblent le montrer les données en chaîne .
Les exploiteurs ont semblé utiliser une attaque de prêt flash pour tromper le protocole et voler plus de 53 Bitcoin, d'une valeur de 1,1 million de dollars, et 10 000 Tether (USDT), un stablecoin adossé à 1-1 avec des dollars américains. L'exploit survient un peu plus de deux mois après que les attaquants ont volé 15 millions de dollars de crypto-monnaies à Inverse Finance lors d'une attaque similaire, comme indiqué précédemment .
Jeudi, pendant les heures d'ouverture européennes, les développeurs d'Inverse Finance ont suspendu les fonctions d'emprunt pour les utilisateurs et ont déclaré qu'ils enquêtaient sur l'incident.
Les prêts flash sont un mécanisme spécifique à DeFi permettant aux utilisateurs d'emprunter des montants élevés de capital avec peu de garanties, à condition que le prêt soit remboursé dans le cadre de la même transaction. Ils sont généralement utilisés par les traders, mais les mauvais acteurs peuvent utiliser les prêts flash pour tromper le contrat intelligent d'un protocole afin qu'il manipule les prix des pools de liquidité et reprenne les actifs de ce pool.
Les données de la blockchain montrent apparemment que les exploiteurs ont emprunté quelque 27 000 Wrapped Bitcoin au protocole de prêt AAVE pour mener l'attaque. Les fonds ont été acheminés via le service d'échange Curve contre diverses pièces stables avant d'être utilisés pour supprimer DOLA, une pièce stable, des pools Inverse Finance .
Une adresse étiquetée « Inverse Finance Exploiter » sur l'outil d'analyse de blockchain Etherscan a apparemment envoyé 900 éther, d'une valeur de 1 million de dollars, au mélangeur de Politique de confidentialité Tornado Cash à la suite de l'exploit, selon les données.
Tornado Cash permet aux utilisateurs de MASK les adresses et est parfois utilisé par des attaquants pour cacher les fonds volés.