INV:创宇区块链:Inverse Finance 惨遭攻击,惊现巨额损失

前言

北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

分析

基础信息

攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

Dune发布SparkSQL与PostgreSQL停用时间表,7月15日正式停止服务:4月21日消息,区块链分析平台Dune发布SparkSQL与PostgreSQL停用时间表,5月15日将从数据资源管理器中删除,6月15日禁用编辑,7月15日停止服务。Dune提醒用户,需要在7月15日前使用DuneSQL迁移工具迁移到DuneSQL,未来将不再更新在SparkSQL或PostgreSQL上运行的查询,但仍然可以访问其中的数据。

此外,Polygon、BNB、Optimism和Gnosis在各自Postgres实例上的数据摄取已于4月20日停止。同时,在短期内,Spells将继续在SparkSQL上运行,但可由DuneSQL查询。Dune团队已经在测试一个新版本的Spellbook,它将完全在DuneSQL上运行,缩小最后剩下的兼容性差距。[2023/4/21 14:18:16]

攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

美联储报告:比特币具有黄金等价值存储的大部分特征:金色财经报道,美联储发布新的比特币研究报告《The Bitcoin–Macro Disconnect》,报告长达31页,报告指出“比特币具有黄金等价值存储的大部分特征”,并总结道,“比特币对货币和宏观经济新闻都没有反应”。

报告中详细总结道,“我们将比特币模型作为一种没有内在价值的资产,其价格取决于其未来价格的贴现值。我们发现发现比特币对货币和宏观经济消息都没有反应。特别是,比特币对货币新闻没有反应的结果令人费解,因为这让人们对贴现率在比特币定价中的作用产生了怀疑。然而,鉴于分析中使用的样本很短,需要更多的证据来评估比特币与宏观经济基本面之间的脱节。”[2023/2/9 11:56:39]

攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

Wombat Beta 总锁仓量达 4000 万美元,创历史新高:5月26日消息,由币安投资的高效多链稳定币兑换协议 Wombat Exchange 上线 Beta 版本后,过去24小时交易量达到了3500万美元的历史新高。截止5月25日,Wombat Exchange 的流动性存款上限提高至 4000 万美元。据悉,Wombat Exchange仅上线一个月,目前TVL已超过AcryptoS 等项目。(Medium)[2022/5/26 3:43:47]

攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562

Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4

Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻击流程

tx1:

1、Sushiswap兑换,300WETH=>374.38INV

2、Sushiswap兑换,200WETH=>690307.06USDC

3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA

4、Sushiswap兑换,690203.01DOLA=>1372.05INV

tx2:

1、质押INV作为抵押物

2、借走1588ETH、94WBTC、4MDOLA、39.3YFI

漏洞原理及细节

在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。

紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。

实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。

总结

本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

FilRAT:ZT創新板即將首發上線RATS

親愛的ZT用戶: ZT創新板即將上線RATS,並開啟RATS/USDT交易對。具體上線時間如下:充值:2022年4月11日14:00;交易:2022年4月11日15:00; RATS Aztec.

AVAXSOL:4月11日价格分析:sol,ADA,LINK

大家好,我是老树藤,行情回顾:从上周四开始大盘的行情一直不怎么稳定,BTC前天触及42000点,昨天触及42000点开始反弹,但是总体反弹力度不大,今天凌晨上冲一波在4点的时候带动了整体的下跌.

[0:0ms0-1:181ms