Paano Pinagsamantalahan ang Deus Finance para sa $13.4M sa Fantom

Desentralisadong Finance (DeFi) application na Deus Finance ay pinagsamantalahan sa pangalawang pagkakataon sa loob ng dalawang buwan, kung saan ang umaatake ay nakakuha ng higit sa $13.4 milyon ng Cryptocurrency sa unang bahagi ng mga oras ng Asia ngayon, ang mga mananaliksik ng seguridad sa PeckShield sabi sa isang tweet. Ang pagsasamantala ay naganap sa Fantom Network.

• Pinapayagan ng Deus ang mga developer na bumuo ng mga serbisyong pinansyal tulad ng futures trading, pagpapautang at mga opsyon sa platform nito. (Disclosure: Ang manunulat ng ulat na ito ay isang tagapagbigay ng pagkatubig para sa Deus sa Ethereum, Fantom at BNB Chain.)
• Gumamit ng a flash loan para linlangin ang paraan ng pagbabasa ng data ng mga matalinong kontrata ni Deus sa mga liquidity pool ng platform. Pinahintulutan nito ang umaatake na artipisyal na palakihin ang halaga ng ilang asset, humiram ng mga pondo at kumita pagkatapos bayaran ang utang.
• Mga $143 milyon ang hiniram bilang a flash loan, lumalabas ang data ng blockchain. Nagawa ng hacker na kumita ng $13.4 milyon. Sinabi ni PeckShield na ang kabuuang pagkalugi sa protocol ay maaaring mas mataas.
• Ang Deus ecosystem ay binubuo ng dalawang token: DEUS at DEI. Ang DEUS ay ang token ng pamamahala sa platform. Minting DEI, a stablecoin na-pegged 1:1 sa U.S. dollar, sinunog ang DEUS, at ang pag-redeem ng DEI ay mints ng DEUS, ayon sa mga dokumento ng developer.
• Ang pagsasamantala noong Huwebes ay ang pangalawa sa loob ng dalawang buwan sa protocol, na inatake sa katulad na paraan noong Marso sa halagang $3 milyon.

Paano naganap ang pag-atake

Gamit ang flash loan, nagawang pansamantalang manipulahin ng mga attacker ni Deus ang mga presyo sa isang liquidity pool na binubuo ng USD Coin (USDC) stablecoin at DEI, at ginamit ang manipuladong presyo ng DEI para humiram at maubos ang pool.

Binibigyang-daan ng mga flash loan ang mga user ng DeFi na kumuha ng milyun-milyong dolyar bilang utang laban sa zero collateral. T ito Crypto magic o libreng pera: Ang utang ay dapat bayaran bago matapos ang transaksyon o binabaligtad ng matalinong kontrata ang transaksyon – na parang hindi umiral ang loan.

Sa kabilang banda, umaasa ang mga liquidity pool, tulad ng USDC at DEI pool sa Deus, sa tinatawag na mga orakulo upang matiyak na tama ang presyo ng mga ito sa lahat ng oras at ang anumang paghiram ay nasa loob ng mga limitasyon na T lalampas sa kabuuang halaga ng mga pool na iyon. Ang Oracles ay mga tool na nakabatay sa blockchain na nagbibigay ng mga matalinong kontrata na may pinagkakatiwalaang panlabas na impormasyon. Kinakailangan ang mga ito dahil ang mga blockchain ay maaaring walang pagbabagong mag-imbak ng data, ngunit T ma-verify kung tumpak ang input data.

Noong Huwebes, nagawang kumuha ng flash loan ang mga attacker na mahigit 143 milyong USDC, at ginamit iyon upang magpalit ng 9.5 milyong DEI, ayon sa PeckShield. Naging sanhi ito ng biglang naging mas mahal ang presyo ng DEI kaysa sa karaniwang halaga ng palitan na $1.

Ang umaatake pagkatapos ay gumamit ng humigit-kumulang 71,000 DEI upang humiram ng higit sa 17.2 milyong DEI gamit ang mga manipuladong presyo. Ang flash loan ay binayaran, at ang umaatake ay nakapagbulsa ng $13.4 milyon.

Bumagsak ang mga presyo ng DEUS ng 16.5% sa nakalipas na 24 na oras, ipinapakita ng data ng CoinGecko. Ang bulto ng mga pagkalugi na ito ay dumating pagkatapos na isapubliko ang pagsasamantala. Hindi tumugon si Deus sa isang Request para sa komento sa oras ng publikasyon.