Inverse Finance verlor 15 Millionen Dollar durch einen Exploit
(TL;DR)
In einer Woche mit hohen Verlusten für Defi-Projekte hat ein anderes Defi-basiertes Protokoll, Inverse Finance, 15 Millionen Dollar durch einen Exploit verloren. In der Woche vom 27. März bis zum 2. April wurde Ronin Network um 625 Millionen Dollar ausgebeutet, was bislang die größte Ausbeutung in der Geschichte von Defi darstellt.
In dieser Woche gab auch Ola Finance bekannt, dass sie für 4,6 Millionen Dollar ausgebeutet wurden.
Inverse Finance ist ein auf Ethereum basierendes Kreditprotokoll und wurde im Jahr 2020 gegründet. Es hat sich zu einer Dezentralen Autonomen Organisation (DAO) mit dem INV-Token als Governance-Token für das Ökosystem entwickelt. Das andere angebotene Produkt ist der DOLA-Token, ein USD-Stablecoin, der die Kreditaufnahme über das Protokoll ermöglicht. Anchor ist der Geldmarkt, der die Kreditaufnahme über den DOLA oder andere Token wie ETH ermöglicht.
Wie kam es zu der Manipulation?
In einem Twitter-Post berichtete Inverse Finance, dass der Anchor-Geldmarkt manipuliert wurde. Dem Tweet zufolge nutzten die Hacker eine Sicherheitslücke im Sushiswap-Oracle-Protokoll aus, die es ihnen ermöglichte, DOLA, ETH, WBTC und YFI im Wert von 15,6 Millionen Dollar zu leihen.
Peckshield, ein Unternehmen für Blockchain-Sicherheit und Datenanalyse, veröffentlichte ein paar Tweets zu der Situation. Den Tweets zufolge nutzte der Hacker einen Fehler bei der Manipulation des Oracle-Preises aus. Der Hacker manipulierte den INV-Preis so, dass es zu einem starken Preisanstieg kam, und er wurde als Sicherheit für die Aufnahme von Geldern auf der Plattform verwendet. Laut dem Etherscan-Bericht wurden bei der Transaktion neun Token übertragen. Der Hacker stahl 1.588 ETH, 1.156 xINV, 94 WBTC, 4.000 DOLA, 1.780 INV, 39 YFI, die sich alle auf insgesamt 15,6 Millionen Dollar beliefen.
Nachwirkungen des Exploits
Nach dem Exploit ist Inverse Finance Berichten zufolge bemüht, alle betroffenen Nutzer zu entschädigen. Sie haben auch die Kreditaufnahme auf dem Anchor-Geldmarkt pausiert, um die Situation zu bereinigen. Da es sich um eine DAO handelt, an der ein großes öffentliches Interesse besteht, organisierte Inverse Finance einen Twitter Space, in dem sie den Interessenvertretern der DAO Updates gaben.
Einige der Updates aus dem Twitter Space beinhalten, dass Chainlink das TWAP Oracle, das im Anchor Money Market verwendet wird, ersetzen wird. Das Upgrade wird jedoch durchgeführt, wenn der INV-Preis-Feed die Liquiditätsanforderungen erfüllt. Ein Twitter-Nutzer, "ChainLinkGod", der als Community-Botschafter für Chainlink fungiert, hat einige der Auswirkungen des TWAP-Orakel-Fehlers aufgeschlüsselt. Sie beinhalten
Für viele Blockchain-Anfänger ist ein Konzept, das durch diesen Exploit ans Licht gebracht wurde: Oracles. Der Hacker von Inverse Finance nutzte eine Sicherheitslücke im TWAP-Orakel aus. Nun stellt sich die Frage: Was sind Oracles?
Was sind Orakel?
Ein Orakel in der Blockchain beschreibt eine dritte Partei, die zuverlässige Daten außerhalb der Blockchain zur Verfügung stellt. Im Wesentlichen wie ein Orakel in historischen Zeiten, haben sie Zugang zu Informationen außerhalb des öffentlichen Raums. Im Falle der Blockchain sind sie nicht dafür ausgelegt, mit öffentlichen Quellen zu interagieren, und sie speichern in erster Linie Daten, die innerhalb der Kette erzeugt werden. Daher sind zusätzliche Protokolle erforderlich, bevor sie mit den Quellen außerhalb der Kette interagieren können.
In Fällen, in denen intelligente Verträge auf Ereignissen außerhalb der Blockchain beruhen, werden Orakel benötigt, um die sichere Übermittlung von Informationen von Off-Chain- zu On-Chain-Quellen zu gewährleisten.
Im Fall von Anchor Money Market von Inverse Finance wurde das Uniswap Time Weighted Average Protocol (TWAP) als Preisorakel verwendet, um die Wechselkurse zwischen den Ethereum-basierten Token bereitzustellen. Was ist Chainlink? Chainlink ist ein dezentrales Netzwerk von Orakeln, das Daten von Off-Chain-Quellen zu On-Chain-Quellen liefert. Sie helfen dabei, Smart Contracts auf sichere Art und Weise mit realen Informationen außerhalb der Blockchain zu verbinden. Chainlink ist ein Ethereum-basiertes Netzwerk, das durch den Proof-of-Stake-Konsensmechanismus gesichert ist.
Genau wie TWAP bietet auch Chainlink Preisfeeds für Ethereum-basierte Token an. In diesem Artikel von SmartContent wird ein Vergleich zwischen Chainlink und TWAP gemacht. Einer der klaren komparativen Vorteile von Chainlink gegenüber TWAP ist, wie in dem Bericht und dem Tweet von ChainLinkGod erwähnt, dass die Zeitabtastung von TWAP zu kurz ist.
Ein weiterer signifikanter Vorteil ist, wie im Artikel erwähnt, dass TWAP keine skalierbare Sicherheit bietet, während Chainlink Price Feeds einen höheren Schutz für das Orakelnetzwerk bietet, wenn der Wert steigt.
Schlussfolgerung
Ein Medium-Artikel von Nour Haridy, dem Gründer von Inverse Finance, gibt einen Überblick über die Funktionsweise der Plattform. Nach dem unglücklichen Vorfall hat der Hacker nicht kommuniziert, obwohl er ein Kopfgeld für die Rückgabe der verlorenen Gelder ausgesetzt hat.
Es wird erwartet, dass die Defi-Plattform kritische Schritte unternimmt, um eine weitere Wiederholung der Vorfälle zu verhindern.
Autor:M. Olatunji, Gate.io Observer, übersetzt von Cedric.P
*Dieser Artikel gibt nur die Meinung des Forschers wieder und stellt keine Investitionsempfehlungen dar.
*Gate.io behält sich alle Rechte an diesem Artikel vor. Die Wiederveröffentlichung des Artikels ist erlaubt, sofern Gate.io genannt wird. In allen anderen Fällen werden rechtliche Schritte aufgrund von Urheberrechtsverletzungen eingeleitet.
