Trong chiều nay (16/06), một lỗ hổng bảo mật của Inverse Finance đã bị tấn công. Tuy nhiên, điều đáng nói lại là phản ứng bất ngờ từ banteg (lập trình viên của Yearn) và Samczsun (một hacker mũ trắng nổi tiếng trong cộng đồng).
Chuyện gì đã xảy ra?
Như thường lệ, Peckshield luôn là đơn vị cảnh báo sớm các dự án DeFi về lỗ hổng bảo mật. Lần này, cái tên được “réo” lại là Inverse Finance.
Tuy nhiên, cộng đồng DeFi xôn xao khi banteg (lập trình viên nổi tiếng của Yearn) đã tweet yêu cầu Peckshield xoá dòng tweet này.
Sau khi bị cộng đồng chất vấn vì tính “phi tập trung” trong phát ngôn, banteg cho rằng samczsun đã nhìn ra được những lỗ hổng lớn hơn. Từ đó, banteg cho biết cần xoá dòng tweet trên để xử lý, đồng thời để đảm bảo tài sản của người dùng được an toàn.
Per the request from @bantg and @samczsun , we have deleted an earlier tweet. We will recap the incident after the settlement. It is tough time in bear market !
— PeckShield Inc. (@peckshield) June 16, 2022
Những dự đoán về vụ việc
Hiện tại, phía Peckshield đã xoá dòng tweet và khẳng định sẽ có bài báo cáo tường thuật sau khi vụ việc được xử lý.
Looks like @InverseFinance has been exploited for c.$1.2m (53 BTC, $100k Tether).https://t.co/Idtx9IisAd pic.twitter.com/oln7Qsh8Rx
— DeFiyst (@DeFiyst) June 16, 2022
Tài khoản DeFiyst cho rằng Inverse đã bị tấn công flash loan, với tổng thiệt hại ~ 1,2 triệu USD (gồm 53 BTC và 100 nghìn USDT). Hacker sau đó đã chuyển tiền sang Tornado Cash để rửa.
Đào sâu vào giao dịch có mã hash 0x958…, có thể thấy hacker đã dùng ví 0xf508 để flash loan khoảng 27.000 WBTC (hơn 500 triệu USD) từ Aave V2. Sau đó, hacker đã tận dụng một lỗ hổng nào đó trong pool yvCRV3Crypto của Inverse Finance.
Từ đó có thể rút một lượng lớn WBTC và USDT ra khỏi pool này. Hiện tại thì phía Inverse Finance lẫn Yearn vẫn chưa có báo cáo chi tiết về vụ việc. Việc banteg yêu cầu xoá tweet có thể là vì một lỗ hổng nào đó từ phía Yearn mà đội ngũ đang cần xử lý.
Trong thông báo mới nhất, Inverse thừa nhận lỗ hổng có tồn tại và cho biết đã tạm dừng chức năng vay tiền để điều tra vấn đề.
Inverse has temporarily paused borrows following an incident this morning where DOLA was removed from our money market, Frontier. We are investigating the incident however no user funds were taken or were at risk. We are investigating and will provide more details soon.
— Inverse+ (@InverseFinance) June 16, 2022
Inverse một lần nữa bị gọi tên
Được biết, đây không phải là lần đầu tiên Inverse Finance bị gọi tên. Vào tháng 04/2022, Inverse cũng là nạn nhân của các hacker, với thiệt hại ước tính 15 triệu USD ở thời điểm nói trên.
Xem thêm: Inverse Finance bị exploit hơn 15 triệu USD vì lỗ hổng liên quan đến oracle
Cập nhật:
Mới đây, Peckshield đã đăng tải dòng tweet giải thích về vụ việc trên.
2/ To illustrate, we use the above tx https://t.co/OaCemQfWug and show the key steps below: pic.twitter.com/lTzhSyo1By
— PeckShield Inc. (@peckshield) June 16, 2022
Các hoạt động của hacker bao gồm:
- Flash loan 27.000 WBTC thông qua AAVE
- Nạp 225 WBTC vào crv3crypto và mint ra 5,375 crv3crypto (LP token)
- Nạp 5.375 crv3crypto vào yvCurve-3Crypto và mint ra 4.906 yvCurve-3Crypto
- Nạp 4.906 yvCurve-3Crypto vào Inverse Finance để làm tài sản thế chấp
- Swap 26.775 WBTC sang 75.403.376 USDT để chi phối giá tài sản thế chấp
- Mượn 10.133.949 DOLA, (với số lượng nhiều hơn cho phép, vì giá tài sản thế chấp đã bị thay đổi)
- Swap ngược 75.403.376 USDT sang 26.626 WBTC
- Swap 10.133.949 DOLA sang 9.881.355 3Crv
- Trả lại 9.881.355 3Crv để nhận 10.099.976 USDT
- Swap 10.000.000 USDT thành 451 WBTC
- Hoàn trả lại khoản vay flash loan ban đầu
Coin68 tổng hợp
Có thể bạn quan tâm:
- DeFi Discussion ep.49: DeFi bị “liên hoàn FUD” – Rút ra được kinh nghiệm gì?
- Tribe – Fei dính nghi vấn “DAO độc tài”
