Inverse Finance Bị Exploit Hơn 15 Triệu Usd Vì Lỗ Hổng Liên Quan Đến Oracle

Minh Khai

Tối ngày 02/04, Inverse Finance đã gặp phải một lỗi liên quan đến chỉ số giá INV, khiến hacker có thể tận dụng và lấy đi tài sản trên nền tảng này.

Inverse Finance bị exploit vì một lỗi liên quan đến oracle

Dòng thông báo mới nhất của Inverse cho biết:

This morning Inverse Finance’s money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI

— Inverse+ (@InverseFinance) April 2, 2022

“Hôm nay, thị trường của Inverse Finance là Anchor đã bị thao túng vì chỉ số giá pool INV/ETH trên SushiSwap. Điều này khiến giá INV tăng mạnh và cho phép hacker có thể vay thêm 15,6 triệu USD dưới dạng DOLA, ETH, WBTC và YFI.”

Dự án cũng cho biết, sự việc lần này không liên quan đến hoạt động flash loan, cũng như các lỗi trong smart contract và front end. Inverse cũng cho biết đang tạm hoãn hoạt động cho vay trên Anchor.

Phân tích sâu hơn về lỗ hổng liên quan đến oracle, tài khoản Igor Igamberdiev cho biết:

5/5

The Inverse Finance oracle, which through Keeper Network, ended up using SushiSwap TWAP as an oracle, returned the price that made the INV token on the platform incredibly expensive.

The attacker deposited his 1.7k INV (fair price – $644k) as collateral and borrowed $15.6M. pic.twitter.com/2hB3k49yad

— Igor Igamberdiev (@FrankResearcher) April 2, 2022

“Hợp đồng Oracle mà Inverse Finance sử dụng là của Keeper Network, đơn vị này lấy nguồn từ chỉ số giá trung bình các pool của SushiSwap, từ đó trả về giá cho token INV quá cao. Kẻ tấn công thế chấp INV và tận dụng giá trị tài sản được định giá cao để vay một số tiền lên đến 15,6 triệu USD.”

Biến động chỉ số giá vì lỗi trong oracle cũng được thể hiện trên đồ thị của token INV.