По данным компании PeckShield, злоумышленник воспользовался уязвимостью в ценовом оракуле Keep3r, который Inverse Finance использует для отслеживания цен токенов. Эксплойт позволил хакеру «обмануть» протокол, завысив котировки INV и использовав актив в качестве залогового обеспечения на рынке Anchor Protocol.
2/ The hack is made possible due to the price oracle manipulation bug so that when the INV (with highly manipulated price) is used as collateral to drain assets from @InverseFinance. pic.twitter.com/hDQG55XU5f
— PeckShield Inc. (@peckshield) April 2, 2022
В компании отметили, что хакеру потребовалось депонировать 901 ETH (более $3,15 млн) для осуществления атаки. Средства поступили из миксера Tornado Cash. Большую часть похищенных активов злоумышленник также перевел на адрес сервиса.
На момент написания адрес хакера практически опустошен.
Команда Inverse Finance приостановила все операции заимствования на рынке Anchor Protocol. Разработчики обратились к хакеру с просьбой вернуть украденные активы за вознаграждение.
На рассмотрение стоящей за проектом ДАО будет вынесено предложение о возмещении потерь пострадавшим пользователям.
Напомним, в марте 2022 года хакеры атаковали сайдчейн Ronin блокчейн-игры Axie Infinity. Злоумышленники вывели активы общей стоимостью $625 млн.
