Deus Finance DAO подверглась еще одной уязвимости и потеряла ETH на сумму 13,4 миллиона долларов из-за хакера менее чем через месяц после того, как была взломана в ходе аналогичной атаки с флэш-кредитом примерно на 3 миллиона долларов.
Deus DAO потеряла более 16 миллионов долларов в результате двух атак
Компания по обеспечению безопасности блокчейна PeckShield впервые сообщила об эксплойте, утверждая, что, хотя хакер заработал около 13,4 миллиона долларов, протокол мог потерять больше.
@DeusDao был использован сегодня в https://t.co/USKNHhXeid, что принесло хакеру прибыль в размере около 13,4 млн долларов (потери протокола могут быть больше).
— PeckShield Inc. (@peckshield) 28 апреля 2022 г.
Согласно PeckShield, хакер использовал флэш-кредит, чтобы манипулировать ценовым оракулом и завышать стоимость DEI. Затем хакер использовал завышенный DEI в качестве залога, чтобы заимствовать и истощать протокол. Эксплойт в марте был получен с использованием того же метода.
1/ @deusdao Deus Finance был использован в https://t.co/bfYCQcz5rZ, что привело к выигрышу хакера в размере около 3 миллионов долларов (потери протокола могут быть больше), включая 200 000 DAI и 1101,8 ETH.
— PeckShield Inc. (@peckshield) 15 марта 2022 г.
Хакер первоначально снял 800 ETH с Tornado Cash, чтобы имитировать эксплойт, отправив средства через Multichain в FANTOM. После кражи средств хакер выплатил флэш-кредит и отправил вырученные средства на свой кошелек.
Теперь кажется, что хакер перевел большую часть доходов из кошелька, так как на момент публикации в кошельке было всего 0,85 ETH.
Ответ команды Деус
В своем первоначальном ответе Deus Finance DAO призвал к спокойствию после того, как сообщил, что его команда работает над этим. Протокол утверждал, что все средства пользователей были в безопасности, и ни один пользователь не был ликвидирован из-за эксплойта.
Платформа мультичейновых децентрализованных деривативов также заявила, что привязка к $DEI восстановлена и что в ближайшее время она предоставит дополнительные обновления.
Команда разработчиков работает над ситуацией с DEI.
1. Средства пользователей в безопасности. Ни один пользователь не был ликвидирован.
2. Кредитование DEI временно приостановлено.
3. Привязка $DEI восстановлена.Подробности ниже.
— DEUS Finance DAO (@DeusDao) 28 апреля 2022 г.
Его основатель, псевдоним Lafachief, не согласился с тем, как PeckShield описал эксплойт.
Это не совсем то, что произошло, я что-нибудь приготовлю. https://t.co/7zwuPNdkly
— µ Лафа µ (@lafachief) 28 апреля 2022 г.
Он добавил, что протокол использует «мюонные оракулы не в сети», и хакер «мог манипулировать ценами VWAP на мюон». Он продолжил, что злоумышленник «по сути «фальсифицировал» обмен ~ 2 млн долларов США на 100 тыс. DEI» и «манипулировал с его помощью ценой Muon VWAP».
Это то, что я знаю до сих пор:
Злоумышленник использовал эту передачу для манипулирования ценой мюона: https://t.co/G4hFwIjkBy.
Muon проверяет SWAPS внутри пула solidly, мы работали над изменением этого вместе с muon, чтобы добавить больше источников и отфильтровать транзакции…
— µ Лафа µ (@lafachief) 28 апреля 2022 г.
Lossless DeFi, инструмент предотвращения взлома криптовалюты, также предложил помочь Deus поймать хакера, если он будет готов сотрудничать.
Привет, @DeusDao. Наша команда изучила это, и мы верим, что вместе с вами сможем поймать виновника. DMed вам, если вы хотели бы работать вместе.
— Без потерь (@losslessdefi) 28 апреля 2022 г.
Однако некоторые пользователи обеспокоены безопасностью платформы, учитывая, что один и тот же эксплойт случался дважды менее чем за месяц.
Олувапелуми верит в преобразующую силу Биткойна и индустрии блокчейнов.
