Odwrócone finansowanie DeFi Lender za $15.6M

W środę 26 maja Inverse Finance, pożyczkodawca DeFi, ogłosił, że został wykorzystany w celu uzyskania $15,6 mln DAI i USDC. W komunikacie stwierdzono, że rezerwy płynności protokołu dla ETH/USDC i ETH/DAI zostały opróżnione przez nieznanego napastnika w bloku 12172943.

Protokół wciąż bada przyczynę włamania, ale na podstawie wstępnej analizy podejrzewa, że napastnik wykorzystał pożyczki flash i możliwości arbitrażu do wyprowadzenia środków z obu rezerw. Wydaje się, że atak został przeprowadzony poprzez pojedyncze transakcje na wielu giełdach, a nie poprzez transfer środków pomiędzy portfelami. Możliwe jest również, że w toku śledztwa wykryta zostanie kolejna luka w zabezpieczeniach, co może doprowadzić do wykorzystania większej ilości środków.

Finanse odwrotne jest zdecentralizowanym protokołem pożyczkowym DeFi (decentralized finance), który pozwala użytkownikom zablokować swoje aktywa kryptowalutowe jako zabezpieczenie w zamian za oprocentowaną pożyczkę. Niedawno uruchomiony projekt został wykorzystany wieczorem 13 października, kiedy hakerzy zaczęli wypompowywać środki z kontraktów stanowiących podstawę platformy.

Inverse Finance jest jednym z kilku projektów DeFi, które w ostatnich miesiącach padły ofiarą włamań, w wyniku których skradziono kryptowaluty o łącznej wartości setek milionów dolarów.

Atakującym udało się przejąć kontrolę nad kluczem prywatnym portfela Ethereum Inverse Finance i wyprowadzić wszystkie środki poprzez serię transakcji.

Klucz prywatny jest używany do podpisywania transakcji wychodzących z portfela. Gdy atakującym udało się przejąć kontrolę nad kluczem prywatnym, byli w stanie wydrenować wszystkie środki, przenosząc je za pomocą serii transakcji.

Inverse Finance ogłosiło dziś na Twitterze, że udało się wykorzystać wszystkie fundusze, w tym $15,6 mln w USDC, $1 mln w DAI oraz $465 000 w ETH.

Inverse Finance, serwis pożyczkowy DeFi oferujący odsetki od depozytów USDC, ogłosił dzisiaj na Twitterze, że został pomyślnie wykorzystany do pozyskania wszystkich środków, w tym $15,6 mln w USDC, $1 mln w DAI i $465 000 w ETH.

Atak polegał na błędnym oznaczaniu czasu bloków Ethereum. Domniemywa się, że atakujący był w stanie manipulować tym znacznikiem czasu, aby wstawić fałszywe transakcje do blockchain co pozwalało im na wypłacanie środków z Inverse tak, jakby zostały one zdeponowane wcześniej, niż zostały zdeponowane. Oznaczało to, że osoba atakująca mogła wypłacić zabezpieczenie w USD ze skarbca Inverse przed dokonaniem jakiejkolwiek wpłaty.

Założyciel i główny programista Inverse, Roman Storm, podobno odkrył błąd 2 września 2020 r., ale nie zgłosił go publicznie aż do 4 września 2020 r. za pośrednictwem swojego osobistego konta na Twitterze po utracie wszystkich środków przechowywanych na platformie. Według Storma, exploit miał wpływ na ponad 20 aplikacji i protokołów opartych na Ethereum, w tym Balancer Labs i Curve Finance. Na chwilę obecną nie ma żadnych planów wycofania transakcji przez zaangażowane strony lub deweloperów.

Szef działu finansowego w agregatorze DeFi Yearn.finance ostrzegał o osobliwej aktywności wokół protokołów Inverse Finance zaledwie kilka godzin przed atakiem.

Po tym doniesieniu, użytkownik Twittera @rektcapital poinformował, że zdeponował $60 000 w skarbcu Inverse Finance i zamknął go na trzy dni. Po wykonaniu tych czynności mógł wypłacić aktywa o wartości ponad $580 000.

DeFi Inverse Finance był protokołem niewypłacalnym, ponieważ jego rodzimy token IFV był notowany po cenie poniżej jednego centa, ale w jego platformie zablokowane były znaczne środki. Podaż w obiegu wynosiła ponad $3 mld tokenów IFV.

Protokół Inverse Finance był w zasadzie niewypłacalny, ponieważ jego token IFV, który stanowi podstawę zarządzania i działania platformy, był notowany na Uniswap za mniej niż jednego centa. Mimo to, użytkownicy zablokowali ogromne ilości środków w protokole; zgodnie z danymi DeFi Pulse, Inverse Finance miał $182 mln całkowitej wartości zablokowanej w momencie włamania.

Ponieważ użytkownicy w pośpiechu wycofywali środki z kluczy prywatnych swoich portfeli po włamaniu, wyprzedawali również wszystkie tokeny IFV, a krążąca w obiegu podaż o wartości ponad $3 mld zmieniła właściciela w ciągu kilku godzin od powiadomienia użytkowników.

W chwili obecnej Inverse Finance pozostaje w trybie offline. Kluczowym pytaniem wynikającym z tego włamania jest to, jak bezpieczne są środki, jeśli zostaną przeniesione do innych protokołów DeFi. Inne pytania dotyczą tego, czy środki zostaną zwrócone i jaką rolę odegrają zdecentralizowane giełdy w odbudowie finansowania.

Różni użytkownicy w mediach społecznościowych zadawali również pytania dotyczące praktyk i protokołów bezpieczeństwa Inverse Finance, zwłaszcza w świetle zdecentralizowanej natury struktury zarządzania. Na przykład kilku użytkowników twierdziło, że wektor ataku wynikał z luki w zabezpieczeniach znalezionej w styczniu 2021 r., która została zgłoszona do Inverse Finance, ale ostatecznie nie została naprawiona.

Firma Inverse Finance poinformowała, że podejmuje działania prawne przeciwko atakującemu i współpracuje z odpowiednimi organami w celu odzyskania środków z giełd kryptowalutowych, na które zostały wysłane skradzione środki:

"Podchodzimy do tego bardzo poważnie i zapewniamy, że nie szczędzimy środków, aby upewnić się, że ten napastnik zostanie pociągnięty do odpowiedzialności".

Luka w DeFi doprowadziła do wykorzystania luki

Wykorzystanie było możliwe dzięki luce w inteligentnym kontrakcie. Nie jest to pierwszy przypadek wykorzystania inteligentnego kontraktu, ale ten atak był szczególnie udany.

Inteligentne kontrakty nie są unikalne dla DeFi. Zostały one wykorzystane również w innych aplikacjach blockchain, w tym w jednym z najpopularniejszych projektów na Ethereum-CryptoKitties.

Inteligentny kontrakt to zestaw reguł, które szczegółowo określają, jak i kiedy dana akcja ma miejsce w sieci blockchain. Raz napisane zasady nie mogą być zmienione, chyba że zostanie osiągnięty konsensus między wszystkimi węzłami w sieci blockchain. Ze względu na ich niezmienność oczekuje się, że inteligentne kontrakty będą bezpieczne i niezmienne, jednak w wielu przypadkach doszło do wykorzystania luk w zabezpieczeniach ze względu na nietrwały lub niekompletny kod.

Aby zapobiec ponownemu wykorzystaniu luk w zabezpieczeniach w ten sposób, programiści DeFi powinni nauczyć się pisać dobry kod Solidity (język używany do pisania inteligentnych kontraktów) i dokładnie go przetestować przed wdrożeniem do jakiejkolwiek sieci blockchain.

Powiązane

pl_PLPolish