La piattaforma di finanza decentralizzata (DeFi) Deus Finance ha confermato le indiscrezioni riguardanti un attaccante che ha usato un metodo illecito per rubare milioni di dollari.

Due società di sicurezza blockchain, PeckShield e CertiK, sostengono che Deus Finance è stata colpita da una variante di un “attacco flash loan“. Gli attacchi di prestito flash coinvolgono gli hacker che prendono in prestito fondi che non richiedono garanzie, comprando una quantità significativa di una criptovaluta per aumentare artificialmente il suo prezzo e poi scaricando le monete.

Il prestito viene ripagato e il mutuatario mantiene qualsiasi profitto.

PeckShield ha detto che l’aggressore ha rubato circa 13,4 milioni di dollari di criptovalute, ma ha notato che le perdite effettive della piattaforma potrebbero essere più grandi. CertiK ha messo le perdite a 5.446 ETH, o circa 15,7 milioni di dollari.

La piattaforma Deus dà agli sviluppatori un modo per creare servizi finanziari ed è composta da due diverse monete: DEI e DEUS.

I dati della Blockchain mostrano che l’attaccante ha preso 143 milioni di dollari in un prestito lampo e ha comprato 9,5 milioni di DEI, la stablecoin di Deus Finance, che è ancorata al dollaro americano.

Quell’acquisto ha aumentato il prezzo del DEI, permettendo all’attaccante di ripagare il prestito flash e di guadagnare circa 13 milioni di dollari.

Deus Finance non ha risposto alle richieste di commento, ma presto ha rilasciato brevi dichiarazioni su Twitter e Telegram sostenendo che nessun cliente ha perso denaro durante l’attacco.

“Si prega di notare che tutti i fondi degli utenti sono al sicuro e che nessun utente è stato liquidato. Gli sviluppatori stanno ancora indagando l’intera portata della situazione e ulteriori dettagli seguiranno presto“, hanno detto le persone dietro il progetto su Telegram.

Su Twitter, hanno detto che nessun utente è stato liquidato e che i prestiti del DEI sono stati fermati temporaneamente.

Il team dev sta lavorando sulla situazione DEI.

1. I fondi degli utenti sono al sicuro. Nessun utente è stato liquidato.
2. I prestiti del DEI sono stati temporaneamente sospesi.
3. Il peg $DEI è stato ripristinato.

DEUS Finance DAO (@DeusDao) 28 aprile 2022
Uno sviluppatore di Deus Finance, twittando dall’account @lafachief, ha inizialmente confermato che l’attaccante ha utilizzato un prestito flash per manipolare il prezzo on-chain.

“Nessun utente ha perso denaro, la perdita è sul protocollo. Che copriremo attraverso il nostro veDEUS andando avanti. Stiamo lavorando insieme a squadre di CEX e altre agenzie per recuperare i fondi. Lavorerò più dettagli per voi oggi“, ha detto lo sviluppatore.

Lo sviluppatore ha continuato a sostenere che non era in realtà un attacco di prestito flash nel senso classico. Era “qualcosa di più sofisticato” che coinvolgeva l’abuso di una caratteristica che sarebbe stata rimossa nel prossimo aggiornamento.

Più tardi, lo sviluppatore ha dichiarato che l’hack potrebbe aver coinvolto un exploit zero-day sulla piattaforma di scambio cripto Solidly.

l’hack che è avvenuto oggi su muon VWAP è stato chiaramente il primo del suo genere, un exploit zero-day su Solidly swaps

• µ Lafa µ (@lafachief) 28 aprile 2022
  Mentre sia CertiK che PeckShield l’hanno chiamato un attacco flash loan, PeckShield ha poi detto che @lafachief era corretto nel dire che era più complicato del tipico esempio.

Non è chiaro da dove provenisse il prestito di 143 milioni di dollari, ma i prestiti flash sono tipicamente disponibili su una varietà di piattaforme di prestito DeFi basate su Ethereum come Aave e dYdX.

I dati della Blockchain hanno mostrato che l’hacker ha inviato i fondi a Tornado Cash, un mixer di criptovalute che permette alle persone di nascondere l’origine dei fondi.

PeckShield ha notato che Deus Finance è stata colpita da un altro attacco di prestito flash il 15 marzo in un incidente che ha portato a circa 3 milioni di dollari di perdite.

I creatori della piattaforma DeFi sono in un costante gioco di gatto e topo con gli hacker che spulciano il loro codice e la funzionalità dei loro contratti intelligenti al fine di trovare vulnerabilità o errori che possono essere abusati.