Apenas dos meses después de perder USD 15.6 millones en un exploit de manipulación del oráculo de precios, Inverse Finance ha vuelto a sufrir un exploit de préstamo flash en el que los atacantes se hicieron con USD 1.26 millones en Tether (USDT) y Wrapped Bitcoin (wBTC).

Inverse Finance es un protocolo de finanzas descentralizadas (DeFi) basado en Ethereum, y un préstamo flash es un tipo de criptopréstamo que normalmente se toma prestado y se devuelve en una sola transacción. Los oráculos informan de la información de precios externa.

El último exploit funcionó utilizando un préstamo flash para manipular el oráculo de precios para un token de proveedor de liquidez (LP) utilizado por la aplicación de mercado de dinero del protocolo. Esto le permitió al atacante tomar prestada una cantidad mayor de la stablecoin del protocolo, Dola (DOLA), que la cantidad de la garantía que depositó, permitiéndole embolsarse la diferencia.

El ataque se produce poco más de dos meses después de un exploit similar del 2 de abril, en el que los atacantes manipularon artificialmente los precios de los tokens garantizados a través de un oráculo de precios para drenar fondos utilizando los precios inflados.

En respuesta al ataque, Inverse Finance ha suspendido temporalmente los préstamos y ha retirado a DOLA del mercado monetario mientras investiga el incidente, afirmando que ningún fondo de los usuarios estaba en peligro.

Posteriormente confirmó que en el incidente solo se vio afectada la garantía depositada por el atacante y que solo contrajo una deuda consigo mismo debido al DOLA robadoAnimó al atacante a devolver los fondos a cambio de una "generosa recompensa".

En total, los atacantes ganaron 99,976 USDT y 53.2 wBTC con el ataque, cambiándolos por ETH antes de enviarlo todo a través del mezclador de criptomonedas Tornado Cash, intentando ofuscar las ganancias mal habidas.

En el ataque anterior, en abril, los atacantes se hicieron con USD 15.6 millones en Ether (ETH), wBTC, Yearn.Finance (YFI) y DOLA.

El mercado DeFi Deus Finance sufrió un exploit similar en marzo, en el que los atacantes manipularon un emparejamiento de precios dentro de un oráculo que condujo a una ganancia de 200,000 Dai (DAI) y 1101.8 ETH, con un valor de más de USD 3 millones en ese momento.

Beanstalk Farms, un protocolo de stablecoin basado en el crédito, perdió todos los USD 182 millones de garantía en un ataque de préstamo flash causado por dos propuestas de gobierno maliciosas, que al final, drenaron todos los fondos del protocolo.

Cómo se produjo el último ataque

La firma de seguridad Blockchain BlockSec analizó que el atacante tomó prestados 27,000 wBTC en un préstamo flash, intercambiando una pequeña cantidad al token LP utilizado para publicar la garantía en Inverse Finance para que los usuarios puedan pedir prestados criptoactivos.

El resto de wBTC se intercambió a USDT, lo que provocó que el precio del token LP colateralizado por el atacante aumentara significativamente a los ojos del oráculo de precios. Con el valor de estos tokens LP que ahora valen mucho más debido a la subida de precios, el atacante pidió prestada una cantidad mayor de lo habitual de la stablecoin DOLA.

El valor de la DOLA valía mucho más que la garantía depositada, por lo que el atacante cambió la DOLA a USDT, y el anterior intercambio de wBTC a USDT se invirtió para pagar el préstamo flash original.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo: