INV:DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi衍生品协议Cega Finance已上线Arbitrum网络:金色财经报道，DeFi衍生品协议Cega Finance已将其基于Solana和以太坊的结构性投资产品扩展到Layer 2网络Arbitrum。此外，Cega还推出Layer 2金库，允许用户质押USDC稳定币Arbitrum的ARB和Optimism的OP代币用作期权策略中的一篮子基础资产。[2023/7/10 10:46:28]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

Defiance ETF CEO：看好比特币，现在是进入的好时机:金色财经报道，Defiance ETF 的首席执行官、首席投资官和联合创始人 Sylvia Jablonski 在接受 C采访时解释了她对比特币的看涨，尽管最近价格下跌。Jablonski 告诉媒体：我仍然完全看好比特币。我认为短期活动只是噪音。她指出：就我们在过去六个月到一年左右的时间来看，比特币似乎与风险资产和股票特别相关。当投资者看到加密货币市场连续几天反弹时，他们会重新投入比特币、以太坊和其他一些加密货币。

Jablonski 预测，在短期内，这将是横向波动，价格将在区间波动，但从长期来看，我仍然预计比特币会在我预计它会归零之前处于 100,000 美元的阵营中，现在是进入的好时机。[2022/4/3 14:01:52]

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

DeFi交易平台Slingshot融资1500万美元:金色财经报道，DeFi交易平台Slingshot在由Ribbit Capital牵头的一轮融资中筹集了1500万美元。此次A轮融资的投资者还包括K5 Global、Shrug Capital、The Chainsmokers、Jason Derulo、Guillaume Pousaz和Austin Rie等。据悉，Slingshot在2020年10月筹集了310万美元的种子轮，使其总资金达到1810万美元。[2021/12/10 7:29:33]

yearn创始人：不会离开DeFi领域，此前媒体报道有夸大其辞之嫌:8月8日，此前消息，海外媒体Decrypt报道称yearn创始人Andre Cronje或将退出去中心化金融（DeFi）领域。

针对此事，Andre Cronje在推特上进行了回应。Andre表示文章本身是有真实部分的，但更多的是在夸大其辞，以博得人们的关注。Andre还表示目前遇到的这些问题不会阻碍他，他也将继续在该领域建设，除非没有任何东西可以开发了。[2020/8/8]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint，换取1156个xINV代币，再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。