Според чуруликане от аналитичната компания DeFi PeckShield, протоколът за децентрализирани деривати Deus Finance претърпя експлоатиране на 28 април 2022 г. Доставчикът на блокчейн сигурност отбеляза, че нападателят е успял да манипулира ценови оракул за флаш заеми на Deus DAO.
Възходът и нарастването на атаките с бързи заеми
„Хакът е възможен благодарение на манипулирането на оракула с помощта на flashloan, което чете от двойката StableV1 AMM – USDC/DEI. След това манипулираната цена на обезпечението DEI се използва за заемане и източване на пула“, обясни PeckShield.
Експлойтът позволи на злонамерения актьор да изтегли над 13.4 милиона долара от ликвидния пул на протокола за кредитиране във Fantom Network. Въпреки това общата загуба от протокола Deus може да бъде много по-висока, според фирмата CertiK, фокусирана върху сигурността.
В чуруликане Публикуван в четвъртък сутринта, CertiK потвърди, че е възникнал експлоат на флаш заем на платформата Deus, но изчисли, че нападателят е спечелил около 16.84 милиона долара.
Хакер прехвърля откраднати средства в Crypto Mixer
Неизвестният нападател успя да измами способността на интелигентните договори на Deus да интерпретират данните от оракула за цените, което му позволява да манипулира стойността на обезпечението DEI. DEI е частичният резерв на стабилната монета на протокола DeFi, привързан към стойността на щатския долар.
Използвайки завишената цена, хакерът използва обезпечение, за да заеме големи суми крипто като бърз заем и да източи пула. Малко след като си осигури плячката от приблизително 5446 ETH, нападателят премести средства от портфейла си в Tornado Cash, популярен инструмент за миксиране на монети.
Към момента на писане, адресът на портфейла, свързан с експлоататора на Deus, има баланс от само $132, тъй като повечето от откраднатите средства вече са били насочени към решението за поверителност на Tornado Cash.
Екосистемата на Deus се разтърсва след опустошителния подвиг в ранните азиатски часове в четвъртък. Експлойтът доведе до срив на цената на DEI с 16.5% през последните 24 часа, според данни от CoinGecko. По-голямата част от загубите идват, след като фирмите за блокчейн сигурност излязоха публично с подробностите за атаката с флаш заем.
Разработчиците на Deus Finance преустановяват отпускането на DEI
Екипът на разработчиците на Deus се придвижи бързо, за да потуши паниката сред потребителите след опустошителния хак в мрежата в четвъртък. В чуруликане Публикувани в четвъртък сутринта, поддръжниците на проекта увериха инвеститорите, че двустранната платформа за извънборсови деривати вече е сигурна.
Екипът потвърди, че средствата на потребителите са в безопасност и повтори, че няма ликвидирани инвеститори. Освен това те обясниха, че привързаността на DEI 1:1 към щатския долар е възстановена, но информираха участниците на пазара, че отпускането на заеми на стейбълкойн е временно спряно.
За съжаление, последният хак на Deus Finance не е първият. Само миналия месец пазарът на DeFi беше инфилтриран от нападатели, използващи същия вектор на атака с флаш заем. Както се съобщава от crypto.news, експлоатацията на злонамерен софтуер накара киберпрестъпниците да си тръгнат с около 3 милиона долара в ETH и DAI монети.
След нарушението на 15 март Deus Finance DAO обяви спирането на договора за заем на DEI. Изпълнителният директор на протокола Deus, Лафайет Табор, тогава изложи a план за реимбурсиране което позволи на засегнатите потребители да изплатят заемите си и да си върнат ликвидирани средства.
Източник: https://crypto.news/deus-finance-new-flashloan-attack-13m/