2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,InverseFinance项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。
1分析如下
攻击地址1:
0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻击地址2:
0x8b4c1083cd6aef062298e1fa900df9832c8351b3
加密指数平台Phuture推出首款产品,专注于“蓝筹”DeFi资产:5月26日消息,去中心化加密指数平台Phuture推出了第一款产品,以此满足投资者对“蓝筹”DeFi资产的投资需求。
Phuture DeFi Index(PDI)在Phuture应用程序和Bancor池中可以获得,该指数是为那些已经涉足比特币和以太坊,现在正在寻求投资其他加密货币的用户设计的。
PDI最初投资于7项资产,最大的配置额度(大约30%)给予了Uniswap(UNI)和Aave(Aave),其次是Lido DAO Token(LDO)和Compound(COMP)。其他资产还包括Yearn.finance(YFI)、SushiSwap(SUSHI)和Alchemix(ALCX)。(Blockworks)[2022/5/26 3:43:01]
攻击交易hash:
DeFi平台Beta Finance获得575万美元融资,红杉资本印度领投:11月1日消息,去中心化金融(DeFi)平台Beta Finance 周五表示,已获得575万美元融资,由红杉资本印度领投,ParaFi Capital, DeFiance Capital, Spartan Group, GSR, Delphi Digital和Multicoin Capital等参投。Beta Finance为用户提供借贷和做空加密货币解决方案,致力于为用户提供一种更容易的对冲风险的途径。(Techcrunch)[2021/11/1 21:15:08]
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
以太坊上DeFi协议总锁仓量突破440亿美元:据欧科云链OKLink数据显示,截至今日10时,以太坊上DeFi协议总锁仓量约合442.65亿美元。其中锁仓量排名前三的协议分别是Maker 58.54亿美元,Uniswap V2 40.21亿美元以及WBTC 39.95亿美元。当前已有13个DeFi协议的锁仓量突破10亿美元。[2021/2/4 18:51:56]
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
HyperPay上线DeFi项目YAM Famer抵押挖矿功能:日前,HyperPay自管钱包上线了流动性挖矿DeFi项目——YAM Famer,YAM是一个实验性协议,其核心是一种弹性的供应加密货币,它会根据市场情况扩展和收缩其供应。HyperPay自管钱包目前已上线了多种DeFi类DApp,后续也将及时上线市场热点DeFi项目,HyperPay官方提示:YAM官方博文提及YAM的智能合约并没有经过安全审计,投资人需注意其中的投资风险。[2020/8/12]
攻击合约:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。
攻击者使用300个ETH,兑换出374个INV代币,再用200ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200ETH兑换出1372INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。
在计算Xinv代币价格时,依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。
可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块去mint,不然将会使用操纵价格区块的前面区块去计算价格。
然后攻击者直接把自己持有的1746INV代币全部mint,换取1156个xINV代币,再依靠持有的xINV借出大量代币。
Inversefinance?项目方累计损失估计大约在1500万美元。
在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。