Inverse Finance потерял $15 миллионов в результате эксплойта

В течении недели больших потерь для проектов DeFi Inverse Finance также подвергся атаке и потерял $15 миллионов. В эту же неделю, с 27 марта по 2 апреля, сеть Ronin была взломана на $625 миллионов, что в настоящее время является крупнейшим эксплойтом в истории DeFi.

В течение этой недели платформа Ola Finance также объявила, что у них было украдено на $4,6 миллиона.

Inverse Finance — это протокол кредитования на основе Ethereum, созданный в 2020 году. Он превратился в децентрализованную автономную организацию (DAO) и создал токен управления экосистемой INV. У проекта также есть токен DOLA, стейблкоин, привязанный к доллару США, с помощью которого можно заимствовать средства в протоколе. Anchor — это денежный рынок кредитования, через который можно взять в долг DOLA или, например, ETH.

Как произошел эксплойт?

В своем твите Inverse Finance сообщил, что на денежном рынке Anchor произошёл эксплойт. Хакер воспользовался брешью в безопасности оракула Sushiswap, что позволило ему занять DOLA, ETH, wBTC и YFI на сумму $15,6 млн.

Пост в Твиттере от Inverse Finance

Компания Peckshield, которая занимается безопасностью блокчейна и аналитикой данных, опубликовала несколько твитов о ситуации. Согласно этим твитам, хакер использовал ошибку в оракуле и манипулировал INV таким образом, что произошел резкий рост цены, и после токен использовался в качестве залога при заимствовании средств с платформы. Согласно отчёту Etherscan, в ходе транзакции было передано девять токенов. Хакер украл 1588 ETH, 1156 xINV, 94 wBTC, 4000 DOLA, 1780 INV и 39 YFI на общую сумму $15,6 млн.

Последствия эксплойта

Сообщается, что после эксплойта Inverse Finance делает всё возможное, чтобы возместить ущерб всем пострадавшим пользователям. Они также приостановили кредитование на денежном рынке Anchor в попытке возместить убытки. Будучи DAO с большим количеством общественных интересов, Inverse Finance организовала Twitter Space, где они сообщали новости членам DAO.

В одном из сообщений в Twitter Space говорилось, что Chainlink заменит оракл TWAP, который используется на Anchor. Однако протокол будет обновлен, когда ценовой поток INV будет соответствовать требованиям ликвидности. Пользователь Твиттера ChainLinkGod, который является амбассадором сообщества Chainlink, рассказал о некоторых последствиях бага оракула TWAP. Например, многие новички в блокчейне благодаря этому эксплойту узнали об оракулах. Хакер воспользовался уязвимостью в оракуле TWAP. Теперь вопрос: что такое оракулы?

Твит ChainlinkGod

Что такое оракулы?

Оракул в блокчейне - это сторонний сервис, который предоставляет смарт-контрактам связь с внешними источниками информации. По сути, как и оракулы в исторические времена, они имеют доступ к информации за пределами публичного пространства. В случае с блокчейном они не предназначены для взаимодействия с общедоступными источниками и в основном хранят данные, сгенерированные в цепочке. Следовательно, для взаимодействия с внешними источниками необходимы дополнительные протоколы.

Оракулы необходимы в тех случаях, когда смарт-контракты основаны на условиях вне блокчейна и нуждаются в обеспечении безопасной доставки информации из источников оффчейн в источники ончейн.

В случае денежным рынком Anchor от Inverse Finance протокол Uniswap TWAP (Time Weighted Average Protocol) был ценовым оракулом, который используется для предоставления обменных курсов между токенами на основе Ethereum. Что такое Chainlink? Chainlink — это децентрализованная сеть оракулов, которая передает данные из источников вне сети в источники в сети. Они помогают безопасно подключать смарт-контракты к реальной информации вне блокчейна. Chainlink — это сеть, основанная на Ethereum, и она защищена механизмом консенсуса Proof-of-Stake.

Как и TWAP, Chainlink также предоставляет информацию о ценах на токены на основе Ethereum. В этой статье SmartContent проводится сравнение между Chainlink и TWAP. Одно из явных преимуществ Chainlink по сравнению с TWAP, как отмечается в отчете и твите ChainLinkGod, заключается в том, что выборка времени TWAP слишком короткая.

Ещё одно существенное преимущество заключается в том, что TWAP не обеспечивает масштабируемую безопасность, в то время как Chainlink Price Feeds предлагает более высокую защиту сети оракула по мере роста стоимости.

Заключение

В статье основателя Inverse Finance Нура Хариди на Medium, описывается как платформа будет работать после эксплойта. Впоследствии Inverse Finance предложили вознаграждение за возврат средств, но хакер так и не вышел на связь.

Ожидается, что DeFi-платформы примут более строгие меры для предотвращения повторения подобных инцидентов.

Автор: исследователь Gate.io Olatunji M.

*Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию.

*Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.