Inverse Finance a été la cible d’un piratage de prêt flash deux mois seulement après avoir perdu 15,6 millions de dollars dans une attaque de falsification d’oracle de prix. Les attaquants sont repartis avec 1,26 million de dollars en Tether (USDT) et Wrapped Bitcoin (wBTC).
Un prêt flash est une sorte de prêt crypto qui est généralement acquis et restitué en une seule transaction, tandis qu’Inverse Finance est un système de financement décentralisé (DeFi) basé sur Ethereum.
La vulnérabilité la plus récente était la manipulation de l’oracle de tarification d’un jeton de fournisseur de liquidité (LP) utilisé par l’application du marché monétaire du protocole avec un prêt flash.
Cela a permis à l’attaquant d’emprunter une quantité plus élevée de Dola (DOLA), le stablecoin du protocole, que la somme des garanties qu’il a soumises, ce qui lui a permis de voler davantage de stablecoin du protocole.
Inverse Finance a subi une attaque similaire
Le piratage suit un peu plus de deux mois après un identique Exploit du 2 avrildans lequel les attaquants ont utilisé un oracle de tarification pour modifier intentionnellement les prix des jetons garantis afin de drainer de l’argent.
Inverse Finance a répondu à l’attaque en suspendant temporairement les emprunts et en retirant DOLA du marché monétaire pendant qu’elle examinait l’événement, affirmant qu’aucun fonds d’utilisateur n’était en danger.
Il a finalement été révélé que l’incident n’avait nui qu’à la garantie déposée par l’attaquant et qu’il n’avait acquis une responsabilité envers lui-même qu’en raison du DOLA volé. L’attaquant a été invité à restituer les fonds en échange d’un « prix généreux ».
Les attaquants ont gagné un total de 99 976 USDT et 53,2 wBTC grâce à l’attaque, qu’ils ont convertie en ETH avant d’envoyer via le mélangeur de crypto-monnaie Tornado Cash pour cacher leurs revenus illicites.
Les attaquants ont emporté 15,6 millions de dollars dans Ether (ETH), wBTC, Yearn.Finance (YFI) et DOLA lors de la précédente attaque en avril.
En mars, le marché DeFi Deus Finance a été piraté, les attaquants modifiant une paire de prix au sein d’un oracle, entraînant un gain de 200 000 Dai (DAI) et 1101,8 ETH, évalué à plus de 3 millions de dollars à l’époque.
Beanstalk Farms, un système de pièces stables basé sur le crédit, a perdu la totalité de ses 182 millions de dollars de garantie dans un assaut de prêt flash déclenché par deux propositions de gouvernance malveillantes, qui ont finalement drainé l’argent du protocole.
