logo
  • Tin tức
  • Báo cáo
  • Sự kiện
  • Nổi bật
  • Coin68 TV
  • E-Magazine
  • Góc nhìn
  • Báo cáo
  • Sự kiện
  • Nổi bật
  • Coin68 TV
  • E-Magazine
  • Góc nhìn
ads

Inverse Finance bị tấn công flash loan, banteg yêu cầu Peckshield xoá tweet

-16/06/2022

Trong chiều nay (16/06), một lỗ hổng bảo mật của Inverse Finance đã bị tấn công. Tuy nhiên, điều đáng nói lại là phản ứng bất ngờ từ banteg (lập trình viên của Yearn) và Samczsun (một hacker mũ trắng nổi tiếng trong cộng đồng).

Inverse Finance bị tấn công flash loan, Banteg yêu cầu Peckshield xoá tweet
Inverse Finance bị tấn công flash loan, Banteg yêu cầu Peckshield xoá tweet

Chuyện gì đã xảy ra?

Như thường lệ, Peckshield luôn là đơn vị cảnh báo sớm các dự án DeFi về lỗ hổng bảo mật. Lần này, cái tên được “réo” lại là Inverse Finance.

Tuy nhiên, cộng đồng DeFi xôn xao khi banteg (lập trình viên nổi tiếng của Yearn) đã tweet yêu cầu Peckshield xoá dòng tweet này.

Sau khi bị cộng đồng chất vấn vì tính “phi tập trung” trong phát ngôn, banteg cho rằng samczsun đã nhìn ra được những lỗ hổng lớn hơn. Từ đó, banteg cho biết cần xoá dòng tweet trên để xử lý, đồng thời để đảm bảo tài sản của người dùng được an toàn.

Những dự đoán về vụ việc

Hiện tại, phía Peckshield đã xoá dòng tweet và khẳng định sẽ có bài báo cáo tường thuật sau khi vụ việc được xử lý.

Tài khoản DeFiyst cho rằng Inverse đã bị tấn công flash loan, với tổng thiệt hại ~ 1,2 triệu USD (gồm 53 BTC và 100 nghìn USDT). Hacker sau đó đã chuyển tiền sang Tornado Cash để rửa.

Đào sâu vào giao dịch có mã hash 0x958…, có thể thấy hacker đã dùng ví 0xf508 để flash loan khoảng 27.000 WBTC (hơn 500 triệu USD) từ Aave V2. Sau đó, hacker đã tận dụng một lỗ hổng nào đó trong pool yvCRV3Crypto của Inverse Finance.

Từ đó có thể rút một lượng lớn WBTC và USDT ra khỏi pool này. Hiện tại thì phía Inverse Finance lẫn Yearn vẫn chưa có báo cáo chi tiết về vụ việc. Việc banteg yêu cầu xoá tweet có thể là vì một lỗ hổng nào đó từ phía Yearn mà đội ngũ đang cần xử lý.

Trong thông báo mới nhất, Inverse thừa nhận lỗ hổng có tồn tại và cho biết đã tạm dừng chức năng vay tiền để điều tra vấn đề.

Inverse một lần nữa bị gọi tên

Được biết, đây không phải là lần đầu tiên Inverse Finance bị gọi tên. Vào tháng 04/2022, Inverse cũng là nạn nhân của các hacker, với thiệt hại ước tính 15 triệu USD ở thời điểm nói trên.

Xem thêm: Inverse Finance bị exploit hơn 15 triệu USD vì lỗ hổng liên quan đến oracle

Cập nhật:

Mới đây, Peckshield đã đăng tải dòng tweet giải thích về vụ việc trên.

Các hoạt động của hacker bao gồm:

  • Flash loan 27.000 WBTC thông qua AAVE
  • Nạp 225 WBTC vào crv3crypto và mint ra 5,375 crv3crypto (LP token)
  • Nạp 5.375 crv3crypto vào yvCurve-3Crypto và mint ra 4.906 yvCurve-3Crypto
  • Nạp 4.906 yvCurve-3Crypto vào Inverse Finance để làm tài sản thế chấp
  • Swap 26.775 WBTC sang 75.403.376 USDT để chi phối giá tài sản thế chấp
  • Mượn 10.133.949 DOLA, (với số lượng nhiều hơn cho phép, vì giá tài sản thế chấp đã bị thay đổi)
  • Swap ngược 75.403.376 USDT sang 26.626 WBTC
  • Swap 10.133.949 DOLA sang 9.881.355 3Crv
  • Trả lại 9.881.355 3Crv để nhận 10.099.976 USDT
  • Swap 10.000.000 USDT thành 451 WBTC
  • Hoàn trả lại khoản vay flash loan ban đầu

Coin68 tổng hợp

Có thể bạn quan tâm:

-16/06/2022
logo-footer
Kết nối với chúng tôi
    Coin68 là nơi cung cấp cái nhìn tổng quan nhanh và chính xác nhất về tiến bộ công nghệ blockchain trên toàn cầu.
      Copyright © 2016 by Coin68