Inverse Finance стала последней жертвой эксплойта DeFi, в результате которого компания потеряла более 15 миллионов долларов, сообщил Peckshield в эти выходные. Фирма по безопасности блокчейна опубликовала твит, в котором просто говорилось: «Привет, @InverseFinance, вы можете взглянуть», связанный с транзакцией на Etherscan.

Отмывка крипты через Tornado Cash

За последние несколько часов эксплуататор отправил в Tornado Cash сотни транзакций Ethereum. Tornado Cash — стандартный инструмент среди хакеров и злоумышленников, пытающихся запутать историю своих транзакций. Они описывают свой сервис как инструмент, который «улучшает конфиденциальность транзакций, разрывая связь в цепочке между адресами источника и получателя. Он использует смарт-контракт, который принимает депозиты ETH, которые могут быть сняты с другого адреса».

Пользователи генерируют случайный ключ и вносят ETH вместе с заметкой. Затем пользователь предоставляет подтверждение ключа к банкноте из другого кошелька для вывода ETH, тем самым разрывая цепочку транзакций, согласно которой «только пользователь, владеющий банкнотой, может связать ввод и вывод».

Эксплойт связан с оракулом TWAP, который требует манипулирования ценой токена управления проекта DeFi с низкой ликвидностью. TWAP означает средневзвешенную цену по времени и «строится путем считывания кумулятивной цены по паре токенов ERC20 в начале и в конце желаемого интервала. Затем разницу в этой кумулятивной цене можно разделить на длину интервала для создания TWAP за этот период». Подробное объяснение эксплойта доступно в ветке, созданной представителем сообщества Chainlink, ChainLinkGod.

Еще один день, еще одна манипуляция оракулом TWAP

Примечания:
1. Выборка времени TWAP была слишком короткой
2. Ликвидность DEX значительно меньше, чем ликвидность Cex.
3. Возможности вилки в сети удалены злоумышленником
4. Вилка CEX-DEX не произошла
5. Общерыночная цена не так сильно зависит от цены DEX https://t.co/qSgpzAKGxS.

— ChainLinkGod.eth (@ChainLinkGod) 2 апреля 2022 г.

Ответ обратного финансирования

Сегодня вечером компания Inverse Finance отправилась в Twitter Spaces, чтобы рассказать о событиях, связанных с эксплойтом. В нем они объясняют, как все решения проходят через управление DAO в сети. Таким образом, возникает вопрос, позволяет ли это быстро принимать решения во время таких кризисов, как этот. Команда выглядела очень спокойной и собранной во время Twitter Space, описывая манипуляции с оракулом очень прозаично. Они винят «неэффективность арбитража», поскольку эксплуататор использовал 500 000 долларов залога, чтобы украсть 15 миллионов долларов за считанные минуты.

DAO теперь активировало правило Guardian на Anchor, чтобы предотвратить будущие заимствования через протокол, используемый во время эксплойта. Это предназначено для «смягчения любых будущих атак того же типа». Затем они объясняют, как их «защита от привязки» позволяет им быстро восстановить рыночную привязку и стимулы, которые они использовали после эксплойта. Twitter Space продолжается еще 30 минут, объясняя другие особенности Inverse Finance в призыве восстановить доверие к проекту.

Эксплойты — это не взломы.

Здесь важно отметить, что человек, ответственный за это действие, не является хакером, как некоторые могут сообщить. В настоящее время во многих статьях задается вопрос: «Если DeFi так хорош, почему его продолжают взламывать?» Ответ заключается в том, что большинство эксплойтов — это не взломы. Во время этого последнего инцидента не было взломано ни кода, ни разрешений безопасности. Вместо этого человек воспользовался оплошностью разработчиков.

DeFi включает в себя множество движущихся частей, которым менее пяти лет. Интерес к таким проектам настолько высок, что инвесторы готовы вкладывать средства в непроверенные проекты в надежде получить огромную прибыль.

Токен управления Inverse Finance, INV, обычно имеет средний ежедневный объем около 900 000 долларов США с рыночной капитализацией в 31 миллион долларов США. Сегодня объем вырос на 5000% из-за эксплойта, и в настоящее время сообщается, что TVL проекта составляет около 27 миллионов долларов. Эти цифры кажутся низкими для мира криптографии, но на самом деле это суммы, которые могут изменить жизнь большинства людей во всем мире. Для выполнения эксплойта потребовалось 500 000 долларов, что привело к увеличению на 2900% для «злоумышленника».

Отмывая деньги через Tornado Cash, аргумент в пользу DeFi о том, что все транзакции отслеживаются, становится намного слабее. Единственный способ, я вижу, это следовать за деньгами. Эксплуататор отправил ETH номиналом 100, 10 и 1. Таким образом, в этом случае для отслеживания потребуется отследить каждое снятие этих сумм с Tornado Cash в обозримом будущем. Нежизнеспособная задача. Даже если бы этого удалось добиться, они не сделали ничего противозаконного. Против условий использования? Скорее всего. Сомнительно этично? Конечно, но, как мы знаем, регулирование DeFi — это развивающаяся область, и этот инцидент произошел из-за того, что кто-то совершал совершенно законные сделки в общедоступной цепочке блоков.

DeFi находится в стадии разработки. Это подчеркивает растущую потребность в передовых методах и расширении тестирования в разработке Web3. Мы надеемся, что общественное доверие не подорвано почти ежедневными сообщениями об эксплойтах DeFi.

Лиам «Акиба» Райт
Корреспондент CryptoSlate

Лиам впервые занялся криптовалютой, добыв Dogecoin в нерабочее время в своей компании по производству видео в 2012 году. С тех пор он стал «блокчейн-максималистом», увлеченным всеми аспектами web3.

Источник