欧科云链:链上套利再上演,天眼还原“Inverse Finance案”始末_CARD:cardano币局

引言:2022年4月2日,DeFi借贷协议InverseFinance因Keep3rTWAP预言机价格操纵遭受攻击,累计损失1,475万美元。

作者|0x6617

案件分析|链上天眼团队

近年来,随着DeFi市场规模的指数型增长,预言机作为DeFi安全性的重要组成部分,针对它的攻击已是屡见不鲜,而本次INV的价格被操纵,既不是闪电贷攻击,与InverseFinance的智能合约或前端代码也无关,而是TWAP预言机使用的时间窗口太短。

价格操纵的另一面是链上套利。DeFi兴起后,以太坊等区块链网络不仅支撑链上资产转账,还有了如挖矿、借贷、衍生品等智能合约的交互场景,这也使得链上可捕获的价值变多,主要通过套利、清算的MEV提取的价值也在迅速增加,尤其是Flashbots推出可视化MEV产品「MEV-Explorev1」,更是将MEV清晰地呈现在我们眼前。

报告:美国加密货币犯罪每年激增300%:数据聚合网站CryptoHead的一项新研究表明,从2017年到2020年,美国与加密货币相关的犯罪平均每年增加300%。该研究还发现,澳大利亚和英国涉及加密货币的犯罪呈上升趋势,但增幅不大。另一份报告中,联邦贸易委员会估计,仅在2020年10月至2021年5月期间,美国消费者就因与加密货币相关的局而损失了8000万美元。在此期间,有近7,000起个人,每起平均损失1,900美元。(forkast)[2021/6/23 23:59:55]

由于存在链上套利机器人不间歇的搬砖行为,如果攻击者操纵预言机,又不是借助闪电贷在一个区块内完成的话,防止MEV-bots抢跑就成了攻击者需要考虑的问题。

2022年1月26日,有黑客使用了与InverseFinance攻击者类似手法,攻击了借贷平台Rari的IndexCoopPool,但却上演了一幕「黑吃黑」,黑客的攻击被MEV-bots「截胡」,最终亏损68ETH离场。

欧科云链胡超:资产通证化将重构实体经济:关于区块链赋能实体经济,欧科云链集团副总裁胡超认为可以从两个角度来看。一是基于联盟链的企业级应用。如区块链+股权,可以实现企业股权管理更高效、公平。再如区块链+商品,商品流通的各个环境都可以用区块链进行改造和赋能。二是基于区块链的资产通证化。未来,所有企业要素都可以上链,实现通证化。资产通证化可以实现更加快结算、自动化合规等。资产通证化是真正能够从底层逻辑、底层架构上赋能实体经济转型的一个终极武器。基于联盟链的各种工具化的应用,只能改变某一个领域和某一个场景,但资产通证化将对整个实体经济的底层逻辑进行重构。(华夏时报)[2021/4/28 21:05:36]

虽然InverseFinance此次事件的攻击者预先准备了241个批量地址,每个地址打入1.5ETH,但并不是为了发动DDOS攻击阻截其他人在监测到INV价格异常波动后的套利行为,而是为了保证他的攻击交易能被打包进下一个区块。

欧科云链OKLink斩获“2020年度金融科技先锋奖”:3月27日消息,欧科云链OKLink在《华夏时报》主办的主题为“金融业2021:双循环下的变革与信心”的华夏机构投资者年会上,斩获“2020年度金融科技先锋奖”。

OKLink是首家区块链大数据公司,基于区块链+大数据技术为用户提供精准的链上数据分析、高延展的信息解决方案及区块链科普教育服务。 目前已落地的产品包括高性能、多币种“区块链浏览器”、链上追踪工具 OKLink 链上天眼及欧科学院。[2021/3/27 19:23:13]

如果有MEV-bots套利,则他的后续攻击有可能跟IndexCoopPool的攻击者一样,面临赔了夫人又折兵的局面。

港股收盘:欧科云链收跌3.13%,火币科技收涨0.20%:金色财经报道,今日港股收盘,恒生指数收盘下跌171.96点,跌幅0.69%,报24930.58点,欧科集团旗下欧科云链(01499.HK)报0.217港元,收跌3.13%,火币科技(01611.HK)报5港元,收涨0.20%,雄岸科技(01647.HK)报0.232港元,收平。[2020/8/6]

InverseFinance被盗过程全解析

InverseFinance是一套无需许可的去中心化金融工具,由运行在以太坊区块链上的去中心化自治组织InverseDAO管理。InverseFinance的主要产品是Anchor和DOLA。

Anchor是一种货币市场和合成资产协议,可实现资本高效的借贷。DOLA是一种跟踪1美元价格的链上资产。DOLA可以用Anchor上的其他资产作为抵押来铸造,也可以自己作为抵押借入Anchor上的其他资产。INV具有附加功能,可用作锚定中的抵押资产。

港股开盘:欧科云链上涨4.57%,火币科技上涨0.32%:金色财经报道,港股开盘,香港恒生指数开盘上涨630.26点,涨幅2.66%,报24408.39点,欧科集团旗下欧科云链(01499.HK)报0.183点,开盘上涨4.57%;火币科技(01611.HK)报3.10点,开盘上涨0.32%,雄岸科技(01647.HK)报0.231点,开盘上涨0.87%。[2020/6/16]

经欧科云链链上天眼分析,本次攻击的关键在于,价格预言机虽然取了TWAP价格,但时间窗口较短,仅是相邻两个数值,由此使得操纵TWAP预言机成为可能。

另外SushiSwap:INV的流动性非常低,仅用300ETH换取INV,即可大幅拉升INV价格,这也使得攻击者以1,746INV作为抵押品,在InverseFinance借出1,475万美元的资产,而后在INV价格被修正后,攻击者的INV抵押品被清算。

相关地址&交易列表:

攻击者地址1:

0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

攻击者地址2:

0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

攻击合约:

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

准备批量账号交易:

0x561e94c8040c82f8ec717a03e49923385ff6c9e11da641fbc518ac318e588984

兑换INV交易,交易块高「14506358」:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

利用漏洞实施攻击,交易块高「14506359」

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

预言机合约:

0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻击流程:

1)攻击者从TornadoCash中提取了901ETH,准备批量账号——通过Disperse分别向241个干净的账号发送1.5ETH作为手续费,交易哈希「0x561e」。

相似手法,却遇「黑吃黑」

2022年1月26日有黑客以类似的手法攻击了借贷平台Rari的IndexCoopPool,但结果却是攻击失败。

攻击者首先买入285ETH的BED,希望大幅抬高BEP价格影响UniswapV3TWAP预言机,再抵押提前准备的BED借出其他资产。

安全,是DeFi生态繁荣发展的保证

预言机作为DeFi生态重要的基础设施,其安全性是DeFi生态繁荣发展的保证,链上天眼认为,安全审计应审查预言机的价格算法、经济模型等。

项目方在设计借贷池的时候,抵押借贷的经济模型,不仅要关注价格,还要关注流动性,流动性差会导致相应的链上资产价格易被操纵。在上线前应加强对预言机的针对性测试,上线后也需对预言机进行定期的安全检查。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

瑞波币加密货币交易所的黑客攻击之痛_THE:BEL

加密货币资产是许多人的一种现代投资方式,但是随着在线交易的便利,随之而来的是遭到黑客和恶意软件的攻击风险不断增大。尽管加密货币以提高安全性而闻名,但对于加密货币交易所而言却并非如此.

FIL币全球十大加密货币ADA_DAN:CardanoEvo

什么是卡尔达诺什么是ADAADA是一种加密货币,代表了Cardano区块链网络的本地资产。Cardano是一种开源的去中心化平台,旨在提供更安全、可扩展和可持续的区块链技术,支持智能合约和去中心.

[0:15ms0-4:453ms