Как Deus Финансы был использован на Fantom за 13,4 миллиона долларов
Атака с использованием срочного кредита стала второй за два месяца.
Приложение децентрализованного Финансы (DeFi) Deus Финансы было использовано во второй раз за два месяца: злоумышленник получил более 13,4 миллиона долларов в Криптовалюта сегодня ранними азиатскими часами, сообщили исследователи безопасности из PeckShield в своем твиттере . Эксплойт произошел в сети Fantom Network.
- Deus позволяет разработчикам создавать на своей платформе финансовые услуги, такие как торговля фьючерсами, кредитование и опционы. (Раскрытие информации: автор этого отчета является поставщиком ликвидности для Deus на Ethereum, Fantom и BNB Chain.)
- Злоумышленник использовал флэш-кредит , чтобы обмануть способ чтения смарт-контрактов Deus данных из пулов ликвидности платформы. Это позволило злоумышленнику искусственно завысить стоимость некоторых активов, занять средства и получить прибыль после погашения кредита.
- Как показывают данные блокчейна, около $143 млн было заимствовано в видесрочного кредита . Хакер смог получить прибыль в размере $13,4 млн. ПекШилд заявил, что общие потери протокола могут быть намного выше.
- Экосистема Deus состоит из двух токенов: DEUS и DEI. DEUS — это токен управления на платформе. Согласно документам разработчиков , чеканка DEI, стейблкоина , привязанного к доллару США в соотношении 1:1, сжигает DEUS, а погашение DEI монетизирует DEUS.
- Эксплойт, произошедший в четверг, стал вторым за два месяца для протокола, который в марте подвергся аналогичной атаке на сумму 3 миллиона долларов.
Как произошло нападение
Используя флэш-кредит, злоумышленники Deus смогли временно манипулировать ценами в пуле ликвидности, состоящем из USD Coin (USDC) и DEI, а также использовать манипулируемую цену DEI для заимствования и опустошения пула.
Срочные кредиты позволяют пользователям DeFi брать миллионы долларов в качестве кредита под нулевой залог. Это T Крипта магия и не бесплатные деньги: кредит должен быть погашен до завершения транзакции, иначе смарт-контракт отменит транзакцию – как если бы кредита никогда не существовало.
С другой стороны, пулы ликвидности, такие как пул USDC и DEI на Deus, полагаются на так называемых оракулов, чтобы гарантировать, что их цена всегда правильна, а любое заимствование находится в пределах, T превышающих общую стоимость этих пулов. . Оракулы — это инструменты на основе блокчейна, которые предоставляют смарт-контрактам надежную внешнюю информацию. Они необходимы, поскольку блокчейны могут хранить данные неизменно, но T могут проверить точность входных данных.
По данным PeckShield , в четверг злоумышленникам удалось взять кредит на сумму более 143 миллионов USDC и использовать его для обмена 9,5 миллионов DEI. Это привело к тому, что цена DEI внезапно стала дороже обычного обменного курса в 1 доллар.
Затем злоумышленник использовал около 71 000 DEI, чтобы занять более 17,2 миллиона DEI, используя манипулируемые цены. Затем срочный кредит был погашен, и злоумышленнику удалось присвоить 13,4 миллиона долларов.
По данным CoinGecko, цены DEUS упали на 16,5% за последние 24 часа. Большая часть этих потерь произошла после того, как эксплойт был обнародован. На момент публикации Деус не ответил на Request о комментариях.