Come Deus Finanza è stato sfruttato per 13,4 milioni di dollari su Fantom
L'attacco, che ha utilizzato un prestito lampo, è stato il secondo in due mesi.
L'applicazione di Finanza decentralizzata (DeFi) Deus Finanza è stata sfruttata per la seconda volta in due mesi, con l'aggressore che ha guadagnato più di 13,4 milioni di dollari in Criptovaluta nelle prime ore asiatiche di oggi, hanno detto in un tweet i ricercatori di sicurezza di PeckShield. L'exploit è avvenuto sulla rete Fantom .
- Deus consente agli sviluppatori di creare servizi finanziari come negoziazione di futures, prestiti e opzioni sulla sua piattaforma. (Dichiarazione informativa: l'autore di questo rapporto è un fornitore di liquidità per Deus su Ethereum, Fantom e BNB Chain.)
- L'aggressore ha utilizzato un prestito flash per ingannare il modo in cui i contratti intelligenti di Deus leggono i dati sui pool di liquidità della piattaforma. Ciò ha consentito all’aggressore di gonfiare artificialmente il valore di alcuni beni, prendere in prestito fondi e realizzare un profitto dopo aver rimborsato il prestito.
- Circa 143 milioni di dollari sono stati presi in prestito comeprestito lampo , sembrano mostrare i dati blockchain. L'hacker è riuscito a realizzare un profitto di 13,4 milioni di dollari. PeckShield ha affermato che le perdite totali per il protocollo potrebbero essere molto più elevate.
- L'ecosistema Deus comprende due token: DEUS e DEI. DEUS è il token di governance sulla piattaforma. Secondo i documenti degli sviluppatori , la coniazione dei DEI, una stablecoin ancorata 1:1 al dollaro statunitense, brucia DEUS e il riscatto dei DEI conia DEUS.
- L'exploit di giovedì è stato il secondo in due mesi relativo al protocollo, che era stato attaccato in modo simile a marzo per 3 milioni di dollari.
Come è avvenuto l'aggressione
Utilizzando il prestito flash, gli aggressori di Deus sono stati in grado di manipolare temporaneamente i prezzi su un pool di liquidità costituito dalla stablecoin USD Coin (USDC) e dai, e utilizzare il prezzo dei DEI manipolato per prendere in prestito e prosciugare il pool.
I prestiti flash consentono agli utenti DeFi di richiedere milioni di dollari come prestito senza garanzie collaterali. Questa T è magia Cripto o denaro gratuito: il prestito deve essere rimborsato prima che la transazione termini o il contratto intelligente inverta la transazione, come se il prestito non fosse mai esistito.
D'altro canto, i pool di liquidità, come il pool USDC e DEI su Deus, si affidano ai cosiddetti oracoli per garantire che il loro prezzo sia corretto in ogni momento e che qualsiasi prestito avvenga entro limiti che T superino il valore totale di tali pool. . Gli oracoli sono strumenti basati su blockchain che forniscono contratti intelligenti con informazioni esterne affidabili. Questi sono necessari perché le blockchain possono archiviare i dati in modo immutabile, ma T possono verificare se i dati di input sono accurati.
Giovedì gli aggressori sono riusciti a ottenere un prestito lampo di oltre 143 milioni USDC e lo hanno utilizzato per scambiare 9,5 milioni di DEI, secondo PeckShield . Ciò ha fatto sì che il prezzo del DEI diventasse improvvisamente più caro del normale tasso di cambio di $ 1.
L’aggressore ha poi utilizzato circa 71.000 DEI per prendere in prestito oltre 17,2 milioni di DEI utilizzando i prezzi manipolati. Il prestito lampo è stato poi rimborsato e l'aggressore è riuscito a intascare 13,4 milioni di dollari.
I prezzi di DEUS sono diminuiti del 16,5% nelle ultime 24 ore, mostrano i dati di CoinGecko. La maggior parte di queste perdite è avvenuta dopo che l’exploit è stato reso pubblico. Deus non aveva risposto a una Request di commento entro il momento della pubblicazione.