2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Inverse Finance 项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。
1 分析如下
攻击地址1:
0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻击地址2:
0x8b4c1083cd6aef062298e1fa900df9832c8351b3
DeFi 概念板块今日平均跌幅为1.34%:金色财经行情显示,DeFi 概念板块今日平均跌幅为1.34%。47个币种中12个上涨,35个下跌,其中领涨币种为:HDAO(+53.51%)、BAL(+14.32%)、AKRO(+9.26%)。领跌币种为:DMG(-14.15%)、LBA(-9.17%)、BTM(-8.80%)。[2021/3/15 18:44:48]
攻击交易hash:
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
Kraken首席执行官:DeFi在吞噬整个金融世界:2月2日消息,加密货币交易所Kraken首席执行官Jesse Powell在接受采访时表示,以太坊让人们进入去中心化智能合约、去中心化交易所、借贷协议这些领域。不管人们是否知道,但DeFi真的在吞噬整个金融世界。Jesse Powell认为10年后,90%的金融服务都将由区块链来完成。(Crypto Globe)[2021/2/2 18:43:05]
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
孙宇晨:JUST已经初具DeFi帝国雏形:据官方最新消息,波场 TRON 创始人兼 BitTorrent CEO 孙宇晨在BitZ「有 Z 有问」AMA中表示:“JUST(JST)是下一步波场TRON DeFi布局的重要生态,我们希望JUST成为穿越牛熊整个波场TRON DeFi生态的核心代币。由于近期DeFi热潮,显然助力加速了这一进程。为顺应广大社区用户的呼声,最近波场TRON更新了三大决策,其中,8月17日将发布JUSTSWAP,这是波场TRON上的Uniswap,八月底将发布JUSTLend,这是波场TRON上的Compound,显然,JUST已经初具DeFi帝国雏形。”[2020/8/13]
攻击合约:
动态 | DeFi项目锁仓价值9.27亿美元 过去一周环比减少18.91%:据DAppTotal.com DeFi专题页面数据显示:截至目前,已统计的33个DeFi项目共计锁仓资金达9.27亿美元,其中Maker锁仓2.95亿美元,占比31.86%,排名第一位;EOSREX锁仓2.21亿美元,占比23.87%,排名第二位;排名第三位的是Edgeware锁仓1.16亿美元,占比12.53%;Compound,Synthetix、dYdX、Nuo等其他DeFi类应用共占比31.74%。截至目前,ETH锁仓总量达353万,占ETH市场总流通量的3.25%,EOS锁仓总量达9,485万个,占EOS市场总流通量的9.14%。过去一周,整体而言:1、Maker 多抵押DAI 上线以来,共计1,603万枚单抵押Dai(Sai)完成升级,转化率为15.79%;2、EOSREX中EOS锁仓量减少541万枚;3、DeFi项目整体锁仓价值较上周环比减少18.91%。[2019/11/25]
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
首先攻击者从Tornado.Cash取出900 ETH为拉高INV代币价格做准备。
攻击者使用300个 ETH,兑换出374个INV代币,再用200 ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200 ETH兑换出1372 INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。
在计算Xinv代币价格时,依靠WETH/INV (0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。
可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块(14506358?)去mint,不然将会使用操纵价格区块的前面区块去计算价格。
然后攻击者直接把自己持有的1746 INV代币全部mint(这里算是抵押),换取1156个xINV代币(LP代币),再依靠持有的xINV借出大量代币。
Inverse finance?项目方累计损失估计大约在1500万美元。
在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。