2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Inverse Finance 项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。
1 分析如下
攻击地址1:
0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻击地址2:
0x8b4c1083cd6aef062298e1fa900df9832c8351b3
衍生品交易平台Syndr成为首个Arbitrum Orbit Chain生态DeFi协议:6月26日消息,衍生品交易平台Syndr日前宣布基于Arbitrum Layer3 Orbit Chain推出测试网,并成为首个Arbitrum Orbit Chain生态DeFi协议。Syndr将利用L3 Rollup链具有的高性能,高扩展性为用户提供低延迟的衍生品交易平台。[2023/6/26 22:00:14]
攻击交易hash:
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
瑞士创新中心负责人:DeFi需要灌输更多的信任:金色财经报道,瑞士创新中心负责人Morten Bech在一篇文章中写道,DeFi需要灌输更多的信任。今天,加密货币内部人士正在利用用户的经验不足,即交易员预测销售以操纵价格。
Morten Bech的观点得到了国际证券委员会组织(Iosco)的赞同,该组织由英国金融行为监管局等国家监管机构组成,正在寻求为DeFi制定政策。
Iosco秘书长Martin Moloney称,我们的目标是根据我们的原则和建议制定一个基本的、国际适用的框架,以管理模仿金融产品的加密货币和数字资产活动。到目前为止,加密货币监管往往涉及到适用于例如银行的现有规则,并将其应用于最近的Web3等价物,如加密货币交易平台或钱包提供商。[2022/9/8 13:17:36]
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
DeFi Safety完成100万美元种子轮融资:DeFi项目评级平台DeFi Safety发推称,完成100万美元种子轮融资,AC领投,其他投资方包括NetX Fund、Leo Cheng、MetaCartel Ventures、Owl Ventures、Immunefi等。[2021/8/10 1:45:47]
攻击合约:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
首先攻击者从Tornado.Cash取出900 ETH为拉高INV代币价格做准备。
分析师:DeFi市场已呈指数级飙升 但该市场已见顶:加密货币分析师Theta Seek表示,自今年6月Compound推出COMP代币以来,DeFi市场已呈指数级飙升,但该市场已见顶。目前,DeFi对普通用户来说“使用起来太困难”,特别是那些刚刚进入加密空间的用户:“尽管过去几个月来,DeFi(AMM +存款/收益)的吸引力大幅增长,但DeFi难以使用,可能会损失资金,吓跑了大多数新用户。”
他还指出,进入DeFi空间的资本价值可能会放缓:“一个更明显的衡量标准是稳定币的市值增长速度。除了ETH, USDC是该领域最常用的稳定币之一。”在过去的一个月里,USDC的市值增加了8亿美元(“新资金”),而同期DeFi的市值膨胀了超过30亿美元。”Theta进一步补充道,监管机构可能会开始把目标对准该领域的公司和创新者,尤其是如果该领域出现任何值得注意的漏洞、黑客攻击或其他可疑趋势。(CryptoSlate)[2020/9/18]
攻击者使用300个 ETH,兑换出374个INV代币,再用200 ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200 ETH兑换出1372 INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。
在计算Xinv代币价格时,依靠WETH/INV (0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。
可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块(14506358?)去mint,不然将会使用操纵价格区块的前面区块去计算价格。
然后攻击者直接把自己持有的1746 INV代币全部mint(这里算是抵押),换取1156个xINV代币(LP代币),再依靠持有的xINV借出大量代币。
Inverse finance?项目方累计损失估计大约在1500万美元。
在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。