В четверг кросс-чейн протокол DeFi под названием Deus Finance DAO подвергся эксплойту мгновенного кредита, и хакер скрылся примерно на $13,4 млн.
Согласно данным в сети, неизвестный злоумышленник осуществил эксплойт, используя флэш-кредит, около 2:40 утра по всемирному координированному времени. Мгновенные кредиты (Flash Loans) — это кредиты, взятые с залогом, чтобы заемная сумма была возвращена в той же транзакции. Это стало возможным благодаря смарт-контрактам.
В то время как флэш-кредиты предназначены для арбитражной торговли и повышения эффективности капитала, хакеры злоупотребляют ими, чтобы манипулировать потоками ценовых данных DeFi, известными как оракулы, и выполнять эксплойты.
По данным фирмы по безопасности блокчейна PeckShield, хакер Deus взял флэш-кредит, чтобы манипулировать ценовым оракулом в одном из его пулов ликвидности на Fantom, используя токен под названием DEI, связанный со стабильной монетой USDC.
«В сегодняшнем инциденте манипуляции с быстрым кредитом привели к значительному увеличению цены DEI«, объяснил PeckShield в своем посте. Эта завышенная стоимость DEI затем использовалась в качестве залога для заимствования дополнительного капитала в рамках той же транзакции мгновенного кредита.
Этот дополнительный заемный капитал был продан за стейблкоин USDC, после чего хакер погасил быстрый кредит, получив около 13,4 миллиона долларов. Затем преступник переместил использованные средства из Fantom в Ethereum, где он перенаправил их через Tornado Cash, протокол микширования, используемый для запутывания транзакций Ethereum.
В ответ на сегодняшний инцидент Deus Finance заявила , что прекратила кредитование эксплуатируемых токенов DEI. Он также заявил, что «средства пользователей в безопасности», и более подробная информация будет опубликована позже.
Это был не первый инцидент с безопасностью для Deus Finance. В прошлом месяце протокол также потерял 3 миллиона долларов из-за эксплойта мгновенного кредита. Инцидент добавил к дебатам о мгновенных кредитах и потенциальном риске, который они представляют для протоколов DeFi .