DeFi Lender Omgekeerde Financiering uitgebuit voor $15.6M

De DeFi geldschieter Inverse Finance beweerde dat het was uitgebuit voor een bedrag van $15,6 miljoen aan DAI en USDC in een aankondiging op woensdag 26 mei. De aankondiging verklaarde dat de liquiditeitsreserves van het protocol voor ETH/USDC en ETH/DAI waren leeggehaald door een onbekende aanvaller bij blok 12172943.

Het protocol onderzoekt nog steeds de oorzaak van de hack, maar op basis van de eerste analyse vermoedt het dat de aanvaller gebruik heeft gemaakt van flitsleningen en arbitragemogelijkheden om geld uit beide wallets te halen. De aanval lijkt te zijn uitgevoerd via enkele transacties op meerdere beurzen, in plaats van geld over te maken tussen portemonnees. Het is ook mogelijk dat een ander beveiligingslek aan het licht komt naarmate het onderzoek vordert, waardoor meer fondsen gecompromitteerd zouden kunnen worden.

Inverse Financiën is een gedecentraliseerd financieel (DeFi) leenprotocol dat gebruikers in staat stelt hun crypto-activa als onderpand vast te zetten in ruil voor een rentedragende lening. Het onlangs gelanceerde project werd op de avond van 13 oktober uitgebuit, toen hackers geld begonnen af te tappen van de contracten die ten grondslag liggen aan het platform.

Inverse Finance is een van de vele DeFi-projecten die de afgelopen maanden zijn gehackt, waarbij gezamenlijk voor honderden miljoenen dollars aan cryptocurrency's is gestolen.

Aanvallers waren in staat om controle te krijgen over de private sleutel van de Inverse Finance Ethereum wallet en alle fondsen leeg te zuigen door ze via een reeks transacties te verplaatsen.

Een privésleutel wordt gebruikt om transacties te ondertekenen die van de portemonnee afkomstig zijn. Toen aanvallers de private sleutel in handen kregen, konden ze alle fondsen aftappen door ze via een reeks transacties te verplaatsen.

Inverse Finance kondigde vandaag op Twitter aan dat het met succes was geëxploiteerd voor alle fondsen, waaronder $15,6 miljoen in USDC, $1 miljoen in DAI, en $465.000 in ETH.

Inverse Finance, een DeFi leendienst die rente biedt op USDC deposito's, kondigde vandaag op Twitter aan dat het met succes was geëxploiteerd voor alle fondsen, waaronder $15,6 miljoen in USDC, $1 miljoen in DAI en $465.000 in ETH.

The attack relied upon faulty timestamping of Ethereum blocks. It is alleged that the attacker was able to manipulate this timestamping in order to insert fake transactions into the blockchain history at an early point, which allowed them to withdraw funds from Inverse as if they had been deposited at an earlier date than they were. This meant that the attacker could withdraw USD collateral from Inverse’s vaults before any deposit was made.

Inverse's oprichter en hoofdontwikkelaar Roman Storm ontdekte de bug naar verluidt op 2 september 2020, maar meldde het pas publiekelijk op 4 september 2020 via zijn persoonlijke Twitter-account nadat hij alle fondsen van het platform had verloren. De exploit trof volgens Storm meer dan 20 op Ethereum gebaseerde applicaties en protocollen, waaronder Balancer Labs en Curve Finance. Op het moment van schrijven zijn er geen plannen van betrokken partijen of ontwikkelaars om transacties terug te draaien.

Het hoofd financiën van de DeFi aggregator Yearn.finance had slechts een paar uur voor de aanval plaatsvond gewaarschuwd voor de eigenaardige activiteit rond de Inverse Finance protocollen.

Na dit bericht liet een Twitter-gebruiker @rektcapital weten dat hij $60,000 in een kluis van Inverse Finance had gestort en deze drie dagen lang had afgesloten. Na dit te hebben gedaan, kon hij meer dan $580.000 aan activa opnemen.

DeFi Inverse Finance was een insolvabel protocol, aangezien zijn native token IFV verhandeld werd op minder dan een cent, maar met aanzienlijke hoeveelheden fondsen opgesloten in zijn platform. De circulerende voorraad was meer dan $3 miljard aan IFV tokens.

Het Inverse Finance-protocol was in essentie insolvent, aangezien zijn native token IFV, dat het bestuur en de activiteiten van het platform ondersteunt, werd verhandeld tegen minder dan een cent op Uniswap. Toch hadden gebruikers enorme hoeveelheden fondsen in het protocol vergrendeld; volgens gegevens van DeFi Pulse, had Inverse Finance $182 miljoen aan totale waarde vergrendeld op het moment van de hack.

Terwijl gebruikers zich haastten om geld op te nemen van de private sleutels van hun respectieve portefeuilles na de hack, verkochten ze ook alle IFV tokens, met een circulerende voorraad ter waarde van meer dan $3 miljard die van eigenaar verwisselde binnen een paar uur nadat gebruikers op de hoogte werden gebracht.

Bij het ter perse gaan, blijft Inverse Finance offline. Een belangrijke vraag die uit deze hack voortkomt is hoe veilig de fondsen zijn als ze worden overgezet naar andere DeFi protocollen. Andere vragen zijn of de fondsen al dan niet zullen worden teruggegeven en welke rol gedecentraliseerde beurzen zullen spelen in het herstel van de financiering.

Verschillende gebruikers op sociale media hebben ook vragen gesteld over de beveiligingspraktijken en -protocollen van Inverse Finance, vooral in het licht van de gedecentraliseerde aard van zijn bestuursstructuur. Zo beweerden verschillende gebruikers dat de aanvalsvector te wijten was aan een kwetsbaarheid die in januari 2021 werd gevonden en aan Inverse Finance werd gemeld, maar uiteindelijk niet werd verholpen.

Inverse Finance zei dat het juridische stappen onderneemt tegen de aanvaller en samenwerkt met de relevante autoriteiten om fondsen terug te halen van cryptocurrency exchanges waar de gestolen activa naartoe werden gestuurd:

"Wij nemen dit zeer serieus en wij verzekeren u dat wij kosten noch moeite sparen om ervoor te zorgen dat deze aanvaller ter verantwoording wordt geroepen.

Kwetsbaarheid in DeFi leidde tot uitbuiting

De aanval werd mogelijk gemaakt door een kwetsbaarheid in een smart contract. Dit is niet de eerste keer dat een smart contract is misbruikt, maar deze aanval was bijzonder succesvol.

Slimme contracten zijn niet uniek voor DeFi. Ze zijn ook gebruikt in andere blockchain toepassingen, waaronder een van de meest populaire projecten op Ethereum-CryptoKitties.

Een smart contract is een set van regels die beschrijft hoe en wanneer een actie plaatsvindt op een blockchain netwerk. Eenmaal geschreven, kan het niet meer worden veranderd tenzij er consensus wordt bereikt tussen alle nodes in dat blockchain netwerk. Vanwege hun onveranderlijkheid wordt verwacht dat slimme contracten veilig en onveranderlijk zijn; er zijn echter veel gevallen waarin kwetsbaarheden werden uitgebuit door niet-robuuste of onvolledige code.

Om te voorkomen dat kwetsbaarheden opnieuw op deze manier worden uitgebuit, is het belangrijk voor DeFi ontwikkelaars om te leren hoe goede solidity code te schrijven (de taal die wordt gebruikt voor het schrijven van smart contracts) en deze grondig te testen voordat ze worden ingezet op een blockchain netwerk.

Gerelateerd

nl_NLDutch