Manipulation d'oracle d'Inverse Finance
15,6 M$ drainés d'Inverse Finance en manipulant son oracle Keep3r INV/ETH via un bundle de mempool privé, contournant le TWAP en un seul bloc invisible.
- Date
- Victime
- Inverse Finance
- Chaîne(s)
- Statut
- Fonds dérobés
Le 2 avril 2022, le protocole de prêt Inverse Finance a été exploité pour environ 15,6 millions de dollars via une attaque sophistiquée de manipulation d'oracle sur son marché de prêt Anchor. L'attaquant a contourné les protections TWAP standard en routant la manipulation via un bundle de mempool privé — rendant l'exploit invisible aux bots d'arbitrage qui l'auraient normalement neutralisé.
Ce qui s'est passé
Les marchés Anchor d'Inverse utilisaient l'oracle Keep3r pour suivre le prix INV/ETH. Anchor acceptait INV comme collatéral et permettait aux utilisateurs d'emprunter d'autres actifs contre lui sur la base du prix rapporté par Keep3r.
L'oracle Keep3r était censé être résistant aux prêts flash via une moyenne pondérée dans le temps — mais l'implémentation lisait son flux de prix sous-jacent depuis un pool Sushiswap INV/WETH avec très peu de liquidité. L'attaquant a réalisé qu'il pouvait drastiquement bouger le prix du pool avec un swap unique modeste, et tant que le prix enregistré dans ce bloc était celui artificiellement manipulé, la TWAP se déplacerait assez pour permettre l'emprunt.
La subtilité sophistiquée : l'attaquant n'a pas utilisé de prêt flash. Il a utilisé 500 ETH de ses propres fonds et soumis la transaction de manipulation de prix directement aux mineurs via un bundle privé (soumission de style Flashbots). Comme la manipulation n'est jamais apparue dans le mempool public, les bots d'arbitrage ne pouvaient pas la voir et ne pouvaient pas ramener le prix en ligne avant qu'Anchor ne consomme la lecture manipulée.
La séquence :
- Soumission d'un bundle privé : swap 500 ETH → 1,7K INV via le pool Sushiswap fin, poussant le prix d'INV environ 50× à la hausse.
- Dans le même bloc, dépôt de 1,7K INV comme collatéral sur Anchor — valeur du collatéral au prix manipulé : assez pour emprunter des dizaines de millions.
- Emprunt de 1 588 ETH, 94 WBTC, 4M DOLA et 39,3 YFI — ensemble valant 15,6 M$.
- Départ avec les fonds empruntés ; le collatéral INV manipulé ne vaut qu'environ 644 K$ au prix réel.
Conséquences
- Inverse a mis en pause les marchés affectés et patché l'oracle pour utiliser des pools plus liquides et des fenêtres TWAP plus strictes.
- Un second exploit deux mois plus tard (juin 2022) a drainé 5,8 M$ supplémentaires via un chemin de manipulation d'oracle apparenté mais distinct.
- La communauté Inverse a remboursé les pertes progressivement via une émission de token de dette et les revenus du protocole.
Pourquoi c'est important
Inverse Finance est le cas d'école pour pourquoi les attaques d'oracle ne se sont pas arrêtées aux prêts flash. La réponse défensive de l'industrie à la manipulation d'oracle par prêt flash — TWAP, flux de prix découplés, gardes de déviation — était déjà en place chez Inverse. L'attaquant a simplement utilisé son propre capital et le routage de transaction privé pour défaire le mécanisme d'arbitrage du mempool public sur lequel le TWAP s'appuie pour rester précis.
La leçon plus profonde : la sécurité de l'oracle est fonction de la liquidité derrière le prix, pas de l'élégance du code smart-contract qui le consomme. Une TWAP sur un pool fin est une TWAP sur des données manipulables. Les protocoles de prêt modernes requièrent des médianes d'oracle multi-sources et des seuils de liquidité durs avant d'accepter un actif à longue traîne comme collatéral.
Sources & preuves on-chain
- [01]medium.comhttps://medium.com/@RedStone_Finance/oracle-attacks-1-inverse-finance-15m-stolen-9fffb03d5171
- [02]certik.comhttps://www.certik.com/resources/blog/inverse-finance-02-april-2022
- [03]therecord.mediahttps://therecord.media/more-than-15-million-stolen-after-hackers-exploit-defi-platform-inverse-finance