Хакер вывел из DeFi-протокола Deus Finance DAO свыше $13 млн

DeFi-протокол Deus Finance DAO вновь подвергся хакерской атаке. По данным компании PeckShield, злоумышленник вывел из смарт-контрактов активы стоимостью около $13,4 млн, однако сам проект «мог потерять больше».

The @DeusDao was exploited today in https://t.co/USKNHhXeid with ~$13.4M gain for the hacker (The protocol loss may be larger).— PeckShield Inc. (@peckshield) April 28, 2022

В марте 2022 года неизвестный вывел из протокола около $3 млн, включая 200 000 DAI и 1101,8 ETH. Для этого он воспользовался мгновенными займами — полученные таким образом активы позволили хакеру манипулировать оракулом, определяющим цену в паре USDC/DEI. 

По словам аналитиков, 28 апреля был использован схожий вектор атаки. 

3/ To illustrate, we use the hack tx and show the key steps below: pic.twitter.com/JyhgYpBmoB— PeckShield Inc. (@peckshield) April 28, 2022

«Взлом стал возможным благодаря манипулированию ценовым оракулом, который считывает данные из пары USDC/DEI, с помощью мгновенного займа. Манипулируемая цена залога DEI затем использовалась для заимствования и истощения пула. Знакомо звучит?», — написали в PeckShield.

В компании отметили, что для инициализации атаки хакеру потребовалось 800 ETH (~$2,31 млн). Средства он завел через миксер Tornado Cash и отправил в сеть Fantom с помощью кроссчейн-протокола Multichain. Похищенные активы злоумышленник конвертировал обратно в Ethereum.

4/ The initial funds (~800 ETH) to launch the hack are withdrawn from @TornadoCash and tunneled to Fantom via @MultichainOrg. The stolen funds are tunneled back to @ethereum and stay in the hacker’s account https://t.co/crqRXRVuRw. pic.twitter.com/eaa8j5lxtK— PeckShield Inc. (@peckshield) April 28, 2022

Согласно CoinGecko, из-за инцидента