Як Deus Фінанси було використано на 13,4 мільйона доларів США на Fantom
Атака з використанням флеш-кредиту стала другою за два місяці.
Програму децентралізованого Фінанси (DeFi) Deus Фінанси було використано вдруге за два місяці, причому зловмисник отримав понад 13,4 мільйона доларів у Криптовалюта сьогодні в ранкові години в Азії, повідомили дослідники безпеки з PeckShield у Twitter . Експлойт стався в мережі Fantom .
- Deus дозволяє розробникам створювати на своїй платформі такі фінансові послуги, як ф’ючерсна торгівля, кредитування та опціони. (Повідомлення: автор цього звіту є постачальником ліквідності для Deus на Ethereum, Fantom і BNB Chain.)
- Зловмисник використовував флеш-позику , щоб обдурити спосіб зчитування смарт-контрактами Deus даних про пули ліквідності платформи. Це дозволяло зловмиснику штучно завищувати вартість деяких активів, позичати кошти та отримувати прибуток після погашення кредиту.
- Згідно з даними блокчейну, близько 143 мільйонів доларів було позичено якшвидку позику . Хакер зміг отримати прибуток у розмірі 13,4 мільйона доларів. PeckShield сказав, що загальні втрати протоколу можуть бути набагато вищими.
- Екосистема Deus складається з двох токенів: DEUS і DEI. DEUS — це маркер управління на платформі. Згідно з документами розробників , карбування DEI, стейблкойна , прив’язаного до долара США, спалює DEUS, а викуп DEI карбує DEUS.
- Експлойт у четвер був другим за два місяці на протоколі, який був атакований подібним чином у березні, за 3 мільйони доларів.
Як стався напад
Використовуючи флеш-позику, зловмисники Deus змогли тимчасово маніпулювати цінами в пулі ліквідності, що складається з USD Coin (USDC), стейблкойну та DEI, і використовувати маніпульовану ціну DEI для запозичення та виснаження пулу.
Флеш-позики дозволяють користувачам DeFi брати мільйони доларів як позику під нульову заставу. Це T Крипто чи безкоштовні гроші: позику потрібно повернути до завершення транзакції, інакше смарт-контракт скасовує транзакцію – ніби позики ніколи не існувало.
З іншого боку, пули ліквідності, такі як пул USDC і DEI на Deus, покладаються на так звані оракули, щоб гарантувати, що їх ціна завжди правильна, а будь-які запозичення знаходяться в межах, які T перевищують загальну вартість цих пулів. . Оракули — це інструменти на основі блокчейну, які надають смарт-контрактам надійну зовнішню інформацію. Вони потрібні, оскільки блокчейни можуть незмінно зберігати дані, але T можуть перевірити, чи точні вхідні дані.
За даними PeckShield , у четвер зловмисники змогли взяти термінову позику на суму понад 143 мільйони USDC та використали її для обміну 9,5 мільйонів DEI. Це призвело до того, що ціна DEI раптово стала дорожчою за звичайний обмінний курс в 1 долар.
Потім зловмисник використав близько 71 000 DEI, щоб позичити понад 17,2 мільйона DEI за маніпульованими цінами. Після цього терміновий кредит було погашено, і зловмиснику вдалося привласнити собі 13,4 мільйона доларів.
Ціни DEUS впали на 16,5% за останні 24 години, свідчать дані CoinGecko. Основна частина цих втрат сталася після оприлюднення експлойту. Deus не відповів на Request про коментар до часу публікації.