Come Deus Finance è stata sfruttata per $13.4M

L'applicazione di finanza decentralizzata (DeFi) Deus Finance è stata sfruttata per la seconda volta in due mesi. Gli aggressori sono stati in grado di ottenere oltre $13,4 milioni di criptovaluta nelle prime ore asiatiche di oggi, secondo i ricercatori di sicurezza di Scudo beccato. L'exploit è avvenuto su Fantom Network. Dopo numerose segnalazioni da parte di PeckShield, il team dietro il Fantom Network è stato in grado di identificare e mitigare lo sfruttamento. Tuttavia, ci sono state preoccupazioni sull'usabilità dei protocolli DeFi a causa della loro suscettibilità ad attacchi come questi in cui una grande quantità di criptovaluta è perduto. Anche il fatto che non si tratti di un incidente isolato dovrebbe essere motivo di preoccupazione

Deus Finance è un protocollo DeFi basato su Fantom Network. Consente agli utenti di guadagnare interessi sulle loro partecipazioni in criptovaluta puntandole nel protocollo. I tassi di interesse sono variabili e dipendono dall'importo della valuta in gioco. Deus Finance consente agli sviluppatori di creare servizi finanziari come trading di futures, prestiti e opzioni sulla sua piattaforma.

Gli aggressori sono stati in grado di sfruttare una falla nel protocollo Deus Finance e coniare nuovi token senza doverne mettere in staking. L'attacco ha utilizzato un prestito flash per ingannare il modo in cui i contratti intelligenti di Deus leggono i dati sui pool di liquidità della piattaforma. Ciò ha consentito all'attaccante di gonfiare artificialmente il valore di alcune attività, prendere in prestito fondi e realizzare un profitto dopo aver rimborsato il prestito.

Alcuni $143 milioni sono stati presi in prestito come prestito flash, come mostrano i dati blockchain. L'hacker è stato in grado di realizzare un profitto di $13,4 milioni. PeckShield ha affermato che le perdite totali per il protocollo potrebbero essere molto più elevate.

Usando il prestito flash, gli aggressori di Deus sono stati in grado di manipolare temporaneamente i prezzi su un pool di liquidità composto dalla stablecoin USD Coin (USDC) e DEI, e utilizzare il prezzo manipolato DEI per prendere in prestito e drenare il pool. Secondo quanto riferito, l'attaccante ha quindi rimborsato il prestito utilizzando USDC, prima di ritirare sia USDC che DEI.

I prestiti flash consentono agli utenti DeFi di contrarre prestiti contro zero garanzie. Questa non è magia crittografica o denaro gratuito: il prestito deve essere rimborsato prima che la transazione termini o lo smart contract annulli la transazione, come se il prestito non fosse mai esistito.

La notizia dell'hack ha suscitato shock nella comunità DeFi, con alcuni utenti che hanno puntato il dito contro la società di revisione Certik, che aveva verificato i contratti intelligenti di Deus. Tuttavia, in una dichiarazione rilasciata oggi, Certik ha affermato di aver utilizzato uno strumento di controllo del software di terze parti che non è stato in grado di rilevare il problema.

Certik ha affermato che ora condurrà ulteriori audit, migliorerà il suo processo attuale e lavorerà con altri revisori dei contratti intelligenti per stabilire le migliori pratiche per i test di sicurezza dei contratti automatizzati. Al momento in cui scrivo, non è chiaro chi ci sia dietro questo attacco.

Non è la prima volta che un prestito flash viene utilizzato per sfruttare un protocollo DeFi. A febbraio, un utente malintenzionato ha utilizzato un prestito flash per sfruttare Compound, un altro protocollo DeFi in cui gli utenti possono guadagnare interessi sui propri asset crittografici. Come risultato dell'exploit, $13,4 milioni sono stati rubati da Deus Finance. Anche se l'attacco è avvenuto nel 2020, è solo ora che il team dietro Deus Finance ha divulgato i suoi dettagli mentre stavano lavorando per ripristinare tutti i fondi persi

Il team di Deus afferma di aver già risolto il problema e sta lavorando per recuperare i fondi. Ha anche interrotto tutte le negoziazioni sulla piattaforma mentre conduce un audit completo

Ultime notizie