Как Deus Finance использовался для $13.4M

Как Deus Finance использовался для $13.4M

Приложение для децентрализованных финансов (DeFi) Deus Finance было использовано во второй раз за два месяца. По словам исследователей безопасности из Пекшилд. Эксплойт произошел в сети Fantom. После многочисленных отчетов от PeckShield команда Fantom Network смогла идентифицировать и смягчить последствия эксплуатации. потерял. Тот факт, что это не единичный случай, также должен вызывать беспокойство.

Deus Finance — это протокол DeFi, построенный на сети Fantom. Это позволяет пользователям получать проценты от своих криптовалютных активов, размещая их в протоколе. Процентные ставки являются переменными и зависят от суммы валюты, которая поставлена на карту. Deus Finance позволяет разработчикам создавать на своей платформе финансовые услуги, такие как торговля фьючерсами, кредитование и опционы.

Злоумышленники смогли использовать уязвимость в протоколе Deus Finance и чеканить новые токены без необходимости их стейкинга. Атака использовала флэш-кредит, чтобы обмануть то, как смарт-контракты Deus считывают данные о пулах ликвидности платформы. Это позволяло злоумышленнику искусственно завышать стоимость некоторых активов, занимать средства и получать прибыль после погашения кредита.

Как показывают данные блокчейна, около $143 миллиона были заимствованы в качестве мгновенного кредита. Хакер смог получить прибыль в размере $13,4 млн. PeckShield сказал, что общие потери протокола могут быть намного выше.

Используя флэш-кредит, злоумышленники Deus смогли временно манипулировать ценами в пуле ликвидности, состоящем из стабильной монеты USD Coin (USDC) и DEI, и использовать манипулируемую цену DEI для заимствования и опустошения пула. Затем злоумышленник, как сообщается, погасил кредит с помощью USDC, прежде чем вывести как USDC, так и DEI.

Флэш-кредиты позволяют пользователям DeFi брать кредиты без залога. Это не криптомагия или бесплатные деньги: ссуда должна быть погашена до завершения транзакции, иначе смарт-контракт отменит транзакцию, как будто ссуды никогда не существовало.

Новость о взломе вызвала шок в сообществе DeFi, и некоторые пользователи указали пальцем на аудиторскую фирму Certik, которая проводила аудит смарт-контрактов Деуса. Однако в заявлении, опубликованном сегодня, Certik сообщила, что использовала сторонний инструмент для аудита программного обеспечения, который не смог обнаружить проблему.

Certik заявила, что теперь будет проводить дополнительные аудиты, улучшать текущий процесс и работать с другими аудиторами смарт-контрактов, чтобы внедрить передовой опыт для автоматизированного тестирования безопасности контрактов. На момент написания статьи остается неясным, кто стоит за этой атакой.

Это не первый случай, когда флэш-кредит используется для эксплуатации протокола DeFi. В феврале злоумышленник использовал флэш-кредит для использования Compound, другого протокола DeFi, с помощью которого пользователи могут получать проценты от своих криптоактивов. В результате эксплойта у Deus Finance было украдено $13,4 млн. Несмотря на то, что атака произошла в 2020 году, только сейчас команда Deus Finance раскрыла ее подробности, поскольку они работали над восстановлением всех потерянных средств.

Команда Deus говорит, что уже исправила проблему и работает над возвратом средств. Он также остановил всю торговлю на платформе, пока проводит полную проверку.

Мартин К.
Мартин К. проверено

Я автор биткойнов и криптовалют. Я также работаю профессиональным трейдером и имею опыт торговли акциями и биткойнами. В своей работе я стремлюсь предоставлять четкую и краткую информацию, которая помогает людям понять эти сложные темы.

Последние новости