Hur Deus Finance utnyttjades för $13.4M
Applikationen för decentraliserad finans (DeFi) Deus Finance utnyttjades för andra gången på två månader. Angriparna lyckades skaffa kryptovaluta för över $13,4 miljoner under tidiga asiatiska timmar idag, enligt säkerhetsforskare vid PeckShield. Exploateringen inträffade på Fantom Network. Efter många rapporter från PeckShield kunde teamet bakom Fantom Network identifiera och mildra utnyttjandet. Det har dock funnits oro över användbarheten av DeFi-protokoll på grund av deras känslighet för attacker som dessa där en stor mängd kryptovaluta finns förlorat. Det faktum att detta inte är en isolerad händelse bör också vara oroande
Deus Finance är ett DeFi-protokoll byggt på Fantom-nätverket. Det tillåter användare att tjäna ränta på sina kryptovalutainnehav genom att satsa dem i protokollet. Räntorna är rörliga och beror på mängden valuta som satsas. Deus Finance låter utvecklare bygga finansiella tjänster som terminshandel, utlåning och optioner på sin plattform.
Angriparna kunde utnyttja en brist i Deus Finance-protokollet och skapa nya tokens utan att behöva satsa några. Attacken använde ett flashlån för att lura hur Deus smarta kontrakt läser data om plattformens likviditetspooler. Detta gjorde det möjligt för angriparen att på konstgjord väg blåsa upp värdet på vissa tillgångar, låna pengar och göra en vinst efter att ha betalat tillbaka lånet.
Cirka $143 miljoner lånades som ett flashlån, blockchain-data verkar visa. Hackaren kunde göra en vinst på $13,4 miljoner. PeckShield sa att de totala förlusterna för protokollet kan vara mycket högre.
Med hjälp av flashlånet kunde Deus angripare tillfälligt manipulera priserna på en likviditetspool bestående av USD Coin (USDC) stablecoin och DEI, och använda det manipulerade DEI-priset för att låna och dränera poolen. Angriparen ska sedan ha betalat tillbaka lånet med USDC innan han drog tillbaka både USDC och DEI.
Flash-lån tillåter DeFi-användare att ta lån mot noll säkerhet. Det här är inte kryptomagi eller gratis pengar: Lånet måste betalas tillbaka innan transaktionen avslutas eller så vänder det smarta kontraktet transaktionen – som om lånet aldrig funnits.
Nyheten om hacket skickade chockvågor genom DeFi-communityt, med några användare som pekade fingrar på revisionsbyrån Certik, som hade granskat Deus smarta kontrakt. Men i ett uttalande som släpptes idag, sa Certik att det hade använt ett tredjepartsverktyg för mjukvarugranskning som inte kunde upptäcka problemet.
Certik har sagt att de nu kommer att genomföra ytterligare revisioner, förbättra sin nuvarande process och arbeta med andra smarta kontraktsrevisorer för att etablera bästa praxis för automatiserad kontraktssäkerhetstestning. I skrivande stund är det fortfarande oklart vem som ligger bakom attacken.
Det är inte första gången som ett flashlån har använts för att utnyttja ett DeFi-protokoll. I februari använde en angripare ett flashlån för att utnyttja Compound, ett annat DeFi-protokoll där användare kan tjäna ränta på sina kryptotillgångar. Som ett resultat av exploateringen stals $13,4 miljoner från Deus Finance. Även om attacken inträffade 2020, är det först nu som teamet bakom Deus Finance har avslöjat sina detaljer när de arbetade för att återställa alla förlorade pengar
Deus-teamet säger att de redan har åtgärdat problemet och arbetar på att återställa pengarna. Den har också stoppat all handel på plattformen medan den genomför en fullständig revision
Jag är en författare av bitcoin och kryptovaluta. Jag arbetar även som professionell handlare, och jag har erfarenhet av aktiehandel och bitcoinhandel. I mitt arbete strävar jag efter att ge tydlig och koncis information som hjälper människor att förstå dessa komplexa ämnen.
