Aplicația DeFi Deus Finance a fost exploatată pentru a doua oară în două luni, atacatorul câștigând peste 13,4 milioane de dolari în criptomonede ieri, 28 aprilie – au declarat cercetătorii de securitate de la PeckShield într-un tweet. Exploatarea a avut loc pe rețeaua Fantom.
The @DeusDao was exploited today in https://t.co/USKNHhXeid with ~$13.4M gain for the hacker (The protocol loss may be larger).
— PeckShield Inc. (@peckshield) April 28, 2022
Deus Finance permite dezvoltatorilor să construiască servicii financiare, cum ar fi tranzacționarea futures, împrumuturi și opțiuni pe platforma sa.
Potrivit datelor, atacatorul a efectuat atacul folosind un împrumut rapid joi, în jurul orei 05:40. Un împrumut rapid (flash loan) este un împrumut care necesită rambursarea sumei împrumutate în aceeași tranzacție. Toate acestea sunt obținute prin contracte inteligente.
În timp ce împrumuturile rapide sunt menite pentru tranzacționarea prin arbitraj și îmbunătățirea eficienței capitalului, hackerii le abuzează pentru a manipula fluxurile de date de prețuri DeFi – cunoscute sub numele de oracole – și pentru a conduce atacuri.
Aproximativ 143 de milioane de dolari au fost împrumutate ca împrumuturi rapide, arată datele. PeckShield a spus că pierderile totale pentru protocol ar putea fi mult mai mari.
Ecosistemul Deus Finance este format din două tokenuri: DEUS și DEI. DEUS este tokenul de guvernare pe platformă, în timp ce DEI este moneda stabilă a protocolului legată de dolarul american.
Atacul de joi a fost al doilea în două luni pentru protocol, care a fost atacat într-un mod similar în martie, pentru o pierdere de 3 milioane de dolari.
Cum a avut loc atacul asupra Deus Finance
Folosind împrumuturi rapide, atacatorii Deus Finance au reușit să manipuleze temporar prețul unui pool de lichiditate format din monedele stabile USDC și DEI și să folosească prețul DEI manipulat pentru a împrumuta și a fura banii.
Pool-urile de lichidate, cum ar fi pool-urile USDC și DEI pe Deus Finance, se bazează pe așa-numitele oracole pentru a se asigura că sunt întotdeauna evaluate corect și că orice împrumut se încadrează în limitele care nu depășesc valoarea totală a acestor pool-uri.
Oracolele sunt instrumente bazate pe blockchain care oferă informații externe de încredere pentru contractele inteligente. Acestea sunt necesare deoarece blockchain-ul poate stoca date imuabile, dar nu poate verifica dacă datele introduse sunt exacte.
Atacatorul a putut să obțină peste 143 de milioane de USDC în împrumuturi rapide și să le schimbe pe 9,5 milioane DEI, potrivit datelor de la PeckShield. Acest lucru a făcut ca prețul DEI să devină brusc mai scump decât cursul de schimb obișnuit de 1 dolar.
Acesta a folosit apoi aproximativ 71.000 DEI pentru a împrumuta peste 17,2 milioane DEI folosind prețul manipulat. Împrumutul rapid a fost apoi rambursat, iar atacatorul a reușit să câștige 13,4 milioane de dolari.
Ca răspuns la evenimentele de ieri, Deus Finance a declarat că a încetat să mai împrumute tokenuri DEI. De asemenea, susține că „fondurile utilizatorilor sunt în siguranță” și mai multe detalii vor fi anunțate ulterior.
The dev team is working on the DEI situation.
1. User funds are safe. No users were liquidated.
2. DEI lending has been temporarily halted.
3. $DEI peg has been restored.More details to follow.
— DEUS Finance DAO (@DeusDao) April 28, 2022
La momentul redactării articolului, prețul DEUS a scăzut cu 25% în ultimele 7 zile, potrivit datelor de la Coingecko. Cele mai multe dintre aceste pierderi au avut loc după ce atacul a devenit public.
Din motiv că aproape oricine poate crea un protocol DeFi și poate scri niște contracte inteligente, defectele de cod sunt comune. În DeFi, există mulți răufăcători capabili să exploateze orice defect. Când se întâmplă acest lucru, milioane de dolari sunt în pericol, deseori fără niciun recurs pentru utilizatori.