Jak wykorzystano finanse Deus dla $13.4M
Aplikacja Decentralized Finance (DeFi) Deus Finance została wykorzystana po raz drugi na przestrzeni dwóch miesięcy. Według badaczy bezpieczeństwa z PeckShield. Exploit wystąpił w sieci Fantom. Po licznych doniesieniach z PeckShield, zespół stojący za Fantom Network był w stanie zidentyfikować i złagodzić eksploatację. Jednak pojawiły się obawy dotyczące użyteczności protokołów DeFi ze względu na ich podatność na ataki takie jak te, w których znajduje się duża ilość kryptowaluty. Stracony. Niepokój powinien budzić również fakt, że nie jest to odosobniony incydent
Deus Finance to protokół DeFi zbudowany na sieci Fantom. Umożliwia użytkownikom zarabianie na posiadanych kryptowalutach poprzez umieszczanie ich w protokole. Stopy procentowe są zmienne i zależą od kwoty postawionej waluty. Deus Finance umożliwia programistom tworzenie usług finansowych, takich jak transakcje terminowe, pożyczki i opcje na swojej platformie.
Osoby atakujące były w stanie wykorzystać lukę w protokole Deus Finance i wybić nowe tokeny bez konieczności stawiania żadnych. W ataku wykorzystano pożyczkę flash, aby oszukać sposób, w jaki inteligentne kontrakty Deus odczytywały dane z puli płynności platformy. Dzięki temu atakujący mógł sztucznie zawyżyć wartość niektórych aktywów, pożyczyć środki i zarobić po spłacie pożyczki.
Około $143 milionów zostało pożyczonych jako pożyczka błyskawiczna, jak wynika z danych blockchain. Haker był w stanie zarobić $13,4 miliona. PeckShield powiedział, że całkowite straty protokołu mogą być znacznie wyższe.
Korzystając z pożyczki błyskawicznej, napastnicy Deusa byli w stanie tymczasowo manipulować cenami w puli płynności składającej się z monety USDC (USDC) stablecoin i DEI oraz użyć zmanipulowanej ceny DEI do pożyczenia i wyczerpania puli. Atakujący podobno spłacił pożyczkę za pomocą USDC, po czym wycofał zarówno USDC, jak i DEI.
Pożyczki Flash umożliwiają użytkownikom DeFi zaciąganie pożyczek z zerowym zabezpieczeniem. To nie jest krypto magia ani darmowe pieniądze: pożyczka musi zostać spłacona przed zakończeniem transakcji lub inteligentna umowa cofnie transakcję – tak jakby pożyczka nigdy nie istniała.
Wiadomość o włamaniu wstrząsnęła społecznością DeFi, a niektórzy użytkownicy wskazywali palcami na firmę audytorską Certik, która przeprowadziła audyt inteligentnych kontraktów Deus. Jednak w opublikowanym dzisiaj oświadczeniu Certik powiedział, że wykorzystał narzędzie do audytu oprogramowania innej firmy, które nie było w stanie wykryć problemu.
Certik zapowiedział, że teraz przeprowadzi dodatkowe audyty, poprawi obecny proces i będzie współpracować z innymi audytorami inteligentnych kontraktów w celu ustalenia najlepszych praktyk w zakresie zautomatyzowanego testowania bezpieczeństwa kontraktów. W chwili pisania tego tekstu nie jest jasne, kto stoi za tym atakiem.
To nie pierwszy raz, kiedy pożyczka flash została wykorzystana do wykorzystania protokołu DeFi. W lutym atakujący wykorzystał pożyczkę flash, aby wykorzystać Compound, inny protokół DeFi, w którym użytkownicy mogą zarabiać na swoich kryptowalutach. W wyniku exploita z Deus Finance skradziono $13,4 miliona. Mimo że atak miał miejsce w 2020 roku, dopiero teraz zespół odpowiedzialny za Deus Finance ujawnił jego szczegóły, gdy pracował nad przywróceniem wszystkich utraconych środków
Zespół Deus twierdzi, że rozwiązał już problem i pracuje nad odzyskaniem środków. Zatrzymał również cały handel na platformie podczas przeprowadzania pełnego audytu