La Finanza inversa del protocollo DeFi viene sfruttata per 1,2 milioni di dollari
Gli aggressori hanno utilizzato un attacco di prestito flash per prosciugare il protocollo open source di Bitcoin e Tether.
Giovedì mattina, lo strumento Finanza decentralizzata (DeFi) basato su Ethereum, Inverse Finanza, è stato sfruttato per ottenere Criptovaluta per un valore di oltre 1,2 milioni di dollari, come sembrano mostrare i dati on-chain .
Sembra che gli sfruttatori abbiano utilizzato un attacco con prestito flash per ingannare il protocollo e rubare più di 53 Bitcoin, del valore di 1,1 milioni di dollari, e 10.000 Tether (USDT), una stablecoin sostenuta su base 1-1 con dollari statunitensi. L'exploit arriva poco più di due mesi dopo che gli aggressori hanno rubato criptovalute per un valore di 15 milioni di dollari da Inverse Finanza in un attacco simile, come riportato in precedenza .
Giovedì, durante le ore europee, gli sviluppatori di Inverse Finanza hanno sospeso le funzioni di prestito per gli utenti e hanno affermato che stavano indagando sull'incidente.
I prestiti flash sono un meccanismo specifico della DeFi che consente agli utenti di prendere in prestito elevate quantità di capitale con poche garanzie a condizione che il prestito venga rimborsato nell’ambito della stessa transazione. Sono generalmente utilizzati dai trader, ma i malintenzionati possono utilizzare prestiti flash per ingannare il contratto intelligente di un protocollo inducendolo a manipolare i prezzi sui pool di liquidità e ad impossessarsi delle attività di quel pool.
I dati della blockchain mostrano apparentemente che gli sfruttatori hanno preso in prestito tramite flash circa 27.000 Wrapped Bitcoin dal protocollo di prestito AAVE per condurre l'attacco. I fondi sono stati instradati attraverso il servizio di swap Curve per varie stablecoin prima di essere utilizzati per rimuovere DOLA, una stablecoin, dai pool di Inverse Finanza .
Un indirizzo contrassegnato come "Inverse Finanza Exploiter" sullo strumento di analisi blockchain Etherscan ha apparentemente inviato 900 ether, del valore di 1 milione di dollari, al mixer Privacy Tornado Cash in seguito all'exploit, mostrano i dati.
Tornado Cash consente agli utenti di MASK gli indirizzi e talvolta viene utilizzato dagli aggressori per nascondere i fondi rubati.