Ngày 3/4/2022, Giao thức cho vay dựa trên Ethereum, Inverse Finance (INV) cho biết họ đã phải chịu một vụ tấn công bảo mật và bị chiếm đoạt 15,6 triệu đô la tiền kỹ thuật số bị đánh cắp.
Theo Inverse, kẻ tấn công đã nhắm mục tiêu vào thị trường tiền tệ Anchor (ANC) của họ – thao túng giá token một cách giả tạo để vay các khoản vay với tài sản thế chấp cực kỳ thấp.
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse (@InverseFinance) April 2, 2022
Theo công ty bảo mật blockchain PeckShield, kẻ tấn công Inverse đã lợi dụng lỗ hổng trong việc sử dụng Inverse oracle giá Keep3r để theo dõi giá token. Kẻ tấn công đã đánh lừa oracle rằng giá của mã thông báo INV của Inverse cao bất thường, và sau đó thực hiện các khoản vay hàng triệu đô la trên Anchor bằng cách sử dụng INV tăng cao làm tài sản thế chấp.
Kẻ tấn công đầu tiên đã rút 901 ETH (khoảng 3 triệu đô la) từ Tornado Cash, được sử dụng để giải ngân crypto mà không để lại dấu vết rõ ràng. Sau đó, kẻ tấn công đã bơm các khoản tiền bí ẩn vào một số cặp giao dịch trên sàn giao dịch phi tập trung SushiSwap – làm tăng giá INV trước oracle về giá Keep3r. Với mức giá của INV đủ cao, kẻ tấn công sau đó đã thực hiện các khoản vay được hỗ trợ bởi INV trên Anchor trước khi đưa giá INV trở lại mức bình thường.
Kẻ tấn công đã đánh cắp được 1.588 ETH, 94 WBTC, 39 YFI và 3.999.669 DOLA sau khi đã xoay vòng hầu hết các khoản tiền thông qua Tornado Cash – có nghĩa là rất khó để biết nguồn tiền sẽ đến đâu – tuy nhiên hiện tại, 73,5 ETH (khoảng 250.000 đô la) vẫn còn trong ví Ethereum ban đầu của kẻ tấn công .
Inverse cho biết trong thông báo của mình rằng họ đã tạm dừng tất cả các khoản vay trên Anchor và một đại diện của giao thức cho biết rằng họ đang làm việc với Chainlink để xây dựng một oracle INV mới. Inverse cũng thông báo rằng họ có kế hoạch đưa ra đề xuất với tổ chức tự trị phi tập trung (DAO) để “đảm bảo tất cả các ví bị ảnh hưởng bởi thao túng giá đều được hoàn trả 100%”, mặc dù không cung cấp thêm chi tiết.
Đây là vụ tấn công trị giá hàng triệu đô la thứ ba của giao thức tài chính phi tập trung (DeFi) trong tuần này với các kỹ thuật ngày càng tinh vi được những kẻ tấn công áp dụng. Ngày 30/3/2022, mạng Ronin cũng đã bị tấn công, thiệt hại 625 triệu đô la và ngay sau đó, ngày 31/3, giao thức cho vay Ola Finance tiếp tục bị tấn công với thiệt hại 3,6 triệu đô la.