木星链 木星链
Ctrl+D收藏木星链

FIN:祸不单行,Inverse Finance再遇闪电贷攻击

作者:

时间:1900/1/1 0:00:00

北京时间2022年6月16日,CertiK审计团队监测到InverseFinance遭受闪电贷攻击,导致了约1068.215ETH的损失。

这是近2个多月内,InverseFinance第二次遭遇闪电贷攻击。在此前于2022年4月2日发生的那起闪电贷攻击中,黑客成功获利约1450万美元。

目前1000枚ETH已被发送到TornadoCash,黑客的钱包内还余7.5万美元。

攻击步骤

①攻击者从AAVE闪电贷出了27,000枚WBTC代币。

②WBTC作为流动性被添加到CurvePool中。

孙宇晨:FTX官方确认债权人实际债务后DebtDAO将向所有FUD持有者发放空投:金色财经报道,波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨在社交媒体发文表示,FUD 为FTX 债权人提供了新的流动性水平,使他们能够在公开市场上交易其 FTX 债务,更好地控制自己的资产,并开辟了新的投资机会。通过DebtDAO提供的合约确认,该债务规模约为数千万美元。FUD早鸟发行阶段将以折扣价出售 FTX 债券,1 FUD = 1 美元,FUD初始发行量和流动性为2000万,公平价格为 0 < 1FUD ≤ 5USDT。

在FTX恢复数据库或FTX官方确认债权人的实际债务后,DebtDAO将根据债务的实际数额进行二次公募并向所有FUD持有者发放空投,届时公平价格为0 < 1 FUD ≤ 1 美元。根据DebtDAO的规则,二次公募前持有1 FUD的用户,将额外获得 2 FUD 空投,空投后DebtDAO将对持有FUD的用户进行1:1的债务回购。[2023/2/5 11:48:20]

③获得的LP代币被存入Yearn的Vault。

Celsius用户在破产案中提出索赔的截止日期是2023年1月3日:金色财经报道,处理Celsius案件的破产法庭将1月3日定为截止日期,这是债权人可以向Celsius提交索赔的最后一天,在此日期之后,未提出索赔的债权人可能没有资格从案件中获得索赔。

Celsius在7月申请了破产保护,在鼎盛时期,Celsius管理着超过100亿美元的资产,并声称拥有超过170万用户。[2022/11/21 22:11:34]

④Yearn的Vault代币作为InverstFinance的抵押品,被存入InverseFinance的Yearn3CryptoVault。

跨链DID .bit成为OpenSea推荐域名,将于10月18号全面开放4-9位注册:9月13日消息,跨链DID .bit成为OpenSea推荐的Domain Names合辑,其在OpenSea上累计交易量达到251 ETH(43 万美金)。.bit将于北京时间10月18日晚8点全面开放4-9位账户注册。从去年7月22日上线以来,.bit已经开放了4-9位的60%以及10位以上的100%注册,.bit累计注册账户已超14 万个。

此前报道,8月15日,跨链DID .bit宣布完成1300万美元A轮融资,CMB International领投,HashKey Capital, QingSong Fund, GSR Ventures, GGV Capital与SNZ参投。[2022/9/13 13:27:00]

⑤然后,恶意的智能合约使用初始闪贷中剩余的26,775枚WBTC,在Curve3Crypto上换取7500万USDT。(WETH-USDT-WBTC)

⑥由于上述步骤操纵了价格预言机,因此抵押品的价格被拉高。随后,攻击者利用价格优势借到价值1000万美元的美元稳定币。

⑦7500万美元的USDT被26,626WBTC换回。

⑧攻击者的智能合约,用借来的DOLA向DOLA-3Pool的CurveMetapool提供流动性。

⑨之后流动性被移除,黑客换取了约1010万的USDT,这步骤的目的是把攻击所得的DOLA换成USDT。

⑩最终黑客使用Curve上的3CryptoPool将1000万USDT转换为451WBTC。剩余的99,976.294美元被保存在攻击者的智能合约中。

?偿还AAVE上的闪电贷。

漏洞分析

被攻击的合约使用YVCrv3CryptoFeed作为InverseFinanceDOLA借贷池的价格预言机。YVCrv3CryptoFeed价格预言机返回的价格会根据CurveUSDT-WBTC-WETH池中不同代币的余额来决定Yearn的Vault代币价格,因此可被攻击者操纵。

资产去向

攻击者在合约上留下了53.244枚WBTC和99,997.294枚USDT,并在他们的合约上调用了`withdrawERC20()`函数,随后将其撤回。WBTC被换成了983.290枚以太币,USDT被换成了84.925枚以太币,总计1068.215枚以太币。随后,1000枚以太币通过多次交易被发送到TornadoFinance,至此黑客结束操作。

InverseFinnace表示,目前已暂停了借贷,没有用户的资金会被拿走或者面临风险,此次事件也正在进一步调查当中,等待提供更多的细节。

写在最后

价格预言机导致价格被操纵是一个常见问题,通过审计,我们可以发现InverseFinance的风险。在此,CertiK的安全专家建议:

1.使用Chainlink作为价格预言机。

2.使用timeweightedaverageprice的价格作为价格预言机。

3.如果上述价格预言机都不可行,借贷平台应该保障“提供抵押品”和“借款”不在一个Block里面完成,以此来减少被闪电贷攻击的可能性。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签:FINVERBTCVERSbybitfintechSymVersebtc钱包官方下载versaillesheroes

币安app官网下载热门资讯
NFT:NFT数据日报 | Doodles在过去24小时内最受巨鲸欢迎(6.22)

NFT数据日报是由Odaily星球日报与NFT数据整合平台NFTGO.io合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度、子领域市占比.

1900/1/1 0:00:00
MAN:浅析:到底什么是零知识证明(ZKP)?

很多兄弟都不知道什么是零知识证明(ZeroKnowledgeProof)?今天我就简单分享以下零知识证明可以让一方(证明方)在不透露任何实际信息的情况下向另一方(验证方)证明某保密信息或声明是真.

1900/1/1 0:00:00
比特币:伊朗央行将在2个月内推出加密里亚尔的试点

金色财经报道,伊朗中央银行行长AliSalehabadi表示,伊朗当局正在采取必要措施,从波斯历8月23日开始的Shahrivar月开始,启动加密里亚尔的试点.

1900/1/1 0:00:00
ENT:华谊兄弟王中磊:内容是元宇宙的核心

金色财经报道,2022年6月23日-30日,第十二届北京国际电影节相关活动首届“元宇宙电影论坛”在线上举办.

1900/1/1 0:00:00
FOR:Forta (FORT) Gets Listed on KuCoin!

DearKuCoinUsers,KuCoinisextremelyproudtoannounceyetanothergreatprojectcomingtoourtradingplatform.

1900/1/1 0:00:00
WIN:Wintermute CEO :加密困境来自于「中心化」机构,依然对行业充满信仰

原文作者:WishfulCynic原文编译:TechFlowintern人们观察价格图表、BTC彩虹图、以前的减半规律等来HODL和选择抄底时机,很明显,这是一种男人的占星术.

1900/1/1 0:00:00