Inverse Finance bị tấn công flash loan, thiệt hại 1.2 triệu USD
Vào chiều ngày 16/6, giao thức DeFi Inverse Finance đã bị hacker tấn công từ một lỗ hổng bảo mật, ước tính thiệt hại khoảng 1.2 triệu USD tài sản tiền điện tử.
Vụ hack ban đầu được phát hiện bởi Peckshield - đơn vị thường cảnh báo về các vụ hack DeFi từng xảy ra trong lịch sử. Tuy nhiên sau đó, banteg (nhà phát triển cốt lõi của Yearn) đã tweet yêu cầu Peckshield xoá dòng tweet này.
Looks like @InverseFinance has been exploited for c.$1.2m (53 BTC, $100k Tether).https://t.co/Idtx9IisAd pic.twitter.com/oln7Qsh8Rx
— DeFiyst (@DeFiyst) June 16, 2022
Theo dữ liệu on-chain cho thấy, hacker ẩn danh đã tấn công nền tảng này bằng cách sử dụng 27,000 BTC (trị giá khoảng 579 triệu USD) vào rạng sáng ngày 16/6. Số tiền bị đánh cắp bao gồm 53 BTC và 100,000 USDT. Sau khi tấn công vào lỗ hổng bảo mật, hacker đã tiến hành chuyển số tiền bị đánh cắp lên Tornado Cash để rửa.
2/ To illustrate, we use the above tx https://t.co/OaCemQfWug and show the key steps below: pic.twitter.com/lTzhSyo1By
— PeckShield Inc. (@peckshield) June 16, 2022
3/ The hack is made possible due to the price oracle manipulation, which misuses the balances of assets in the pool to directly calculate the LP token price. It is greatly facilitated by the flashloan to skew the reserves in the pool. pic.twitter.com/NxurMnMF7W
— PeckShield Inc. (@peckshield) June 16, 2022
Được biết ban đầu, kẻ tấn công đã thực hiện flash loan khoảng 27.000 WBTC (hơn 500 triệu USD) từ Aave V2. Sau đó hắn ta đã phát hiện ra một lỗ hổng trong mạng lưới bảo mật của Inverse Finance, cụ thể trong pool yvCRV3Crypto trên nền tảng này và nhắm vào việc đánh cắp các tài sản như WBTC và USDT.
Hiện tại, về phía Inverse Finance vẫn chưa đưa ra các thông tin cụ thể về vụ hack. Tuy nhiên, dự án cũng đã lên tiếng thừa nhận về lỗ hổng bảo mật của nền tảng và tạm dừng tính năng vay tiền để đảm bảo khoản thiệt hại không nghiêm trọng hơn.
Inverse has temporarily paused borrows following an incident this morning where DOLA was removed from our money market, Frontier. We are investigating the incident however no user funds were taken or were at risk. We are investigating and will provide more details soon.
— Inverse+ (@InverseFinance) June 16, 2022
Inverse Finance là nền tảng Lending có mô hình tương tự như MakerDAO. Nếu MakerDAO nổi tiếng với Stablecoin là DAI, thì đối với Inverse Finance, đó là DOLA. Điểm khác biệt khi so với MakerDAO là Inverse Finance không chỉ có một tính năng Lending, mà còn đó nhiều sản phẩm khác. Trong đó bao gồm Anchor với tính năng lending và DCA Vault. Với DCA Vault người dùng có thể gửi tiền vào để nhận lãi suất. Sau đó lợi nhuận sẽ dùng để mua các tài sản như ETH, YFI,…
Trên thực tế, đây không phải là lần đầu tiên Inverse Finance bị hack do sự cố bảo mật. Trong quá khứ, dự án này cũng đã từng bị tấn công với khoản thiệt hại lên đến 15.6 triệu USD. Được biết, trong lần trước hacker đã tận dụng lỗ hổng trên Anchor để đánh cắp các tài sản thế chấp và cho vay của nền tảng.
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse+ (@InverseFinance) April 2, 2022
Gần đây, nhiều vụ hack đã xảy ra và để lại hậu quả nghiêm trọng cho nhiều dự án. Vấn đề bảo mật có lẽ là điều gì đó mà đội ngũ phát triển các dự án vẫn chưa khắc phục được hoàn toàn. Chính vì vậy, những người dùng các nền tảng DeFi nên tỉnh táo để bảo vệ túi tiền của mình trước động thái tinh vi của hacker.