Хакеры украли свыше $15 млн в результате атаки на лендинговый проект Inverse Finance

2 апреля лендинговый проект Inverse Finance сообщил о хакерской атаке, в результате которой похищены активы стоимостью $15,6 млн. Команда протокола обещала возместить потери пользователей. This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI— Inverse+ (@InverseFinance) April 2, 2022 «Сегодня утром один из рынков Inverse Finance, Anchor, подвергся капиталоемкой манипуляции с ценовым оракулом INV/ETH на SushiSwap, что привело к резкому росту котировок INV. Это позволило злоумышленнику взять кредит на $15,6 млн в DOLA, ETH, WBTC и YFI», — написала команда проекта. По данным компании PeckShield, злоумышленник воспользовался уязвимостью в ценовом оракуле Keep3r, который Inverse Finance использует для отслеживания цен токенов. Эксплойт позволил хакеру «обмануть» протокол — он завысил котировки INV и использовал актив в качестве залогового обеспечения на рынке Anchor Protocol. 2/ The hack is made possible due to the price oracle manipulation bug so that when the INV (with highly manipulated price) is used as collateral to drain assets from @InverseFinance. pic.twitter.com/hDQG55XU5f— PeckShield Inc. (@peckshield) April 2, 2022 В компании отметили, что хакеру потребовалось депонировать 901 ETH (более $3,15 млн) для осуществления атаки. Средства поступили из миксера Tornado Cash. Большую часть похищенных активов злоумышленник также перевел на адрес сервиса. На момент написания адрес хакера практически опустошен.  Команда Inverse Finance приостановила все операции заимствования на рынке Anchor Protocol. Разработчики обратились к хакеру с просьбой вернуть украденные активы за вознаграждение.  На рассмотрение стоящей за проектом ДАО будет вынесено предложение о возмещении потерь пострадавшим пользователям.  Напомним, в марте 2022 года хакеры атаковали сайдчейн Ronin блокчейн-игры Axie Infinity. Злоумышленники вывели активы общей стоимостью $625 млн.