Pagal Čivināšana DeFi analitinės bendrovės PeckShield, decentralizuoto išvestinių finansinių priemonių protokolas Deus Finance patyrė išnaudojimą 28 m. balandžio 2022 d. Blockchain saugumo teikėjas pastebėjo, kad užpuolikas sugebėjo manipuliuoti Deus DAO greitųjų paskolų kainų orakulu.
Greitų paskolų išpuolių augimas ir augimas
„Įsilaužimas tapo įmanomas dėl greitos paskolos manipuliavimo kainų orakulu, kuris nuskaito iš StableV1 AMM – USDC/DEI poros. Tada manipuliuojama užstato DEI kaina naudojama skolinantis ir ištuštinant baseiną“, – paaiškino PeckShieldas.
Išnaudojimas leido piktavališkam veikėjui gauti daugiau nei 13.4 mln. USD iš skolinimo protokolo likvidumo fondo „Fantom Network“. Tačiau, pasak į saugumą orientuotos įmonės CertiK, bendras Deus protokolo nuostolis gali būti daug didesnis.
A Čivināšana Ketvirtadienio rytą paskelbtas „CertiK“ patvirtino, kad „Deus“ platformoje įvyko greitos paskolos išnaudojimas, tačiau apskaičiavo, kad užpuolikas uždirbo apie 16.84 mln. USD pelno.
Įsilaužėlis perveda pavogtas lėšas į kriptovaliutų maišytuvą
Nežinomas užpuolikas sugebėjo apgauti „Deus“ išmaniųjų sutarčių gebėjimą interpretuoti kainų „Oracle“ duomenis, leisdamas jam manipuliuoti užstato DEI verte. DEI yra DeFi protokolo dalinė stabilioji moneta, susieta su JAV dolerio verte.
Pasinaudojęs išpūsta kaina, įsilaužėlis pasinaudojo užstatu, kad pasiskolintų dideles kriptovaliutų sumas kaip greitą paskolą ir ištuštino fondą. Netrukus po to, kai užsitikrino maždaug 5446 ETH grobį, užpuolikas perkėlė lėšas iš savo piniginės į populiarų monetų maišymo įrankį „Tornado Cash“.
Rašymo metu su Deus eksploatuotoju susieto piniginės adreso likutis yra tik 132 USD, nes didžioji dalis pavogtų lėšų jau buvo nukreipta į „Tornado Cash“ privatumo sprendimą.
Deus ekosistema svyruoja po niokojančio žygdarbio ankstyvomis Azijos valandomis ketvirtadienį. Remiantis CoinGecko duomenimis, per pastarąsias 16.5 valandas DEI kaina sumažėjo 24%. Didžioji dalis nuostolių buvo patirta po to, kai „blockchain“ saugos įmonės paviešino informaciją apie skubios paskolos ataką.
„Deus Finance“ kūrėjai sustabdė DEI skolinimą
„Deus dev“ komanda greitai numalšino vartotojų paniką po ketvirtadienio niokojančio įsilaužimo į tinklą. A Čivināšana Paskelbta ketvirtadienio rytą, projekto rėmėjai patikino investuotojus, kad dvišalė ne biržos išvestinių finansinių priemonių platforma dabar yra saugi.
Komanda patvirtino, kad vartotojų lėšos buvo saugios, ir pakartojo, kad investuotojai nebuvo likviduoti. Jie taip pat paaiškino, kad DEI 1:1 susiejimas su JAV doleriu buvo atkurtas, tačiau rinkos dalyvius informavo, kad stabilios monetos skolinimas laikinai sustabdytas.
Deja, naujausias „Deus Finance“ įsilaužimas nėra pirmasis. Dar praėjusį mėnesį į DeFi prekyvietę įsiveržė užpuolikai, naudojantys tą patį greitosios paskolos atakos vektorių. Kaip pranešė crypto.news, dėl kenkėjiškų programų išnaudojimo kibernetiniai nusikaltėliai pasišalino su maždaug 3 mln. USD ETH ir DAI monetų.
Po kovo 15 d. pažeidimo Deus Finance DAO paskelbė nutraukianti DEI skolinimo sutartį. Tada „Deus“ protokolo generalinis direktorius Lafayette Tabor išdėstė a kompensavimo planas tai leido paveiktiems vartotojams grąžinti paskolas ir susigrąžinti likviduotas lėšas.
Šaltinis: https://crypto.news/deus-finance-new-flashloan-attack-13m/