Inverse Finance gặp sự cố với flash loan, banteg yêu cầu Peckshield gỡ bỏ tweet

Trong buổi chiều hôm nay (16/06), một lỗ hổng bảo mật của Inverse Finance đã bị tấn công. Tuy nhiên, điều đáng chú ý là phản ứng bất ngờ từ banteg (nhà phát triển của Yearn) và Samczsun (một hacker mũ trắng nổi tiếng trong cộng đồng).

Chuyện gì đã xảy ra?

Đúng như thói quen, Peckshield luôn là đơn vị cảnh báo sớm về các lỗ hổng bảo mật trong các dự án DeFi. Lần này, tên gọi được nhắc đến là Inverse Finance.

Tuy nhiên, cộng đồng DeFi rối ren khi banteg (nhà phát triển nổi tiếng của Yearn) đã tweet yêu cầu Peckshield xóa bài đăng này.

Sau khi bị cộng đồng chất vấn về tính “phi tập trung” trong phát ngôn, banteg cho biết samczsun đã phát hiện ra những lỗ hổng lớn hơn. Vì vậy, banteg nói rằng cần xóa tweet để xử lý tình hình và bảo vệ tài sản của người dùng.

Các dự đoán về tình huống này

Hiện tại, Peckshield đã xóa tweet và cam kết sẽ có bài báo cáo chi tiết sau khi vụ việc được giải quyết.

DeFiyst cho rằng Inverse đã trải qua một cuộc tấn công flash loan, với tổng thiệt hại khoảng 1,2 triệu USD (bao gồm 53 BTC và 100 nghìn USDT). Kẻ tấn công sau đó đã chuyển tiền sang Tornado Cash để tiến hành rửa tiền.

Khi phân tích giao dịch có mã hash 0x958…, có thể thấy kẻ tấn công đã sử dụng ví 0xf508 để flash loan khoảng 27.000 WBTC (hơn 500 triệu USD) từ Aave V2. Sau đó, kẻ tấn công đã tận dụng một lỗ hổng trong pool yvCRV3Crypto của Inverse Finance.

Từ đó, họ có thể rút một lượng lớn WBTC và USDT ra khỏi pool này. Hiện tại, cả Inverse Finance và Yearn vẫn chưa có báo cáo chi tiết về sự cố. Việc banteg yêu cầu xoá tweet có thể là do một lỗ hổng nào đó từ phía Yearn đang được xử lý.

Trong thông báo mới nhất, Inverse thừa nhận rằng lỗ hổng đã tồn tại và cho biết họ đã tạm dừng chức năng vay tiền để điều tra vấn đề.

Inverse một lần nữa bị đặt tên

Như đã biết, đây không phải là lần đầu tiên Inverse Finance bị đề cập đến. Vào tháng 04/2022, Inverse cũng đã trở thành nạn nhân của các hacker, với tổn thất ước tính lên đến 15 triệu USD.

Thông tin mới:

Gần đây, Peckshield đã đăng tweet giải thích về sự kiện trên.

Các hoạt động của hacker bao gồm:

• Sử dụng flash loan để vay 27.000 WBTC thông qua AAVE
• Nạp 225 WBTC vào crv3crypto và tạo ra 5,375 crv3crypto (LP token)
• Nạp 5.375 crv3crypto vào yvCurve-3Crypto và tạo ra 4.906 yvCurve-3Crypto
• Nạp 4.906 yvCurve-3Crypto vào Inverse Finance để sử dụng làm tài sản thế chấp
• Đổi 26.775 WBTC sang 75.403.376 USDT để chi phối giá của tài sản thế chấp
• Mượn 10.133.949 DOLA (với số lượng vượt quá, do giá của tài sản thế chấp đã thay đổi)
• Đổi ngược 75.403.376 USDT sang 26.626 WBTC
• Đổi 10.133.949 DOLA sang 9.881.355 3Crv
• Trả lại 9.881.355 3Crv để nhận 10.099.976 USDT
• Đổi 10.000.000 USDT thành 451 WBTC
• Hoàn trả lại số tiền vay ban đầu

Mytour