前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
比特币全网未确认交易数量为186002笔:金色财经报道,据BTC.com数据显示,目前比特币全网未确认交易数量为186002笔,全网算力为329.13 EH/s,24小时交易速率为5.16交易/s,目前全网难度为48.71 T,预测下次难度下调2.71%至47.39 T,距离调整还剩5天12小时。[2023/4/30 14:35:00]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
数据:本月数字资产总市值蒸发了约1830亿美元:金色财经报道,TradingView的数据显示,由于SBF的FTX交易所倒闭导致投资者对加密货币的信心减弱,本月数字资产总市值蒸发了约1830亿美元,已降至8000亿美元以下,这是自2021年初以来的最低水平。(CoinDesk)[2022/11/18 13:19:24]
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
新西兰联储加息50个基点至2.50%:7月13日消息,新西兰联储加息50个基点至2.50%,符合市场预期,为连续第6次加息。(金十)[2022/7/13 2:09:21]
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
标签:INVETHDOLADOLCoinversation ProtocolethyleneabsorbentDOLANDolaimi Social
原文作者:0x137,律动BlockBeats最近,在发布Avalanche子网DFKChain后,DeFiKingdoms这个安静的「矿场」又热闹了起来.
1900/1/1 0:00:00本文来自Decrypt,原文作者:AndrewHaywardOdaily星球日报译者|念银思唐卖家在拍卖开始前几分钟反悔,发文“不好意思,我决定HODL”,故导致拍卖取消.
1900/1/1 0:00:00原文标题:《PanteraCapital推出2亿美元新基金旨在布局Web3细分赛道》原文作者:召猫;编辑:Doge本文来自微信公众号:老雅痞4月6日.
1900/1/1 0:00:00Celo是一个去中心化的社交支付协议,它将区块链技术与传统的支付方式相结合,以此建立更简单的付款方式以及更稳定的货币波动体系.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM原定於2022年4月7日09:00-21:00進行的系統升級維護計畫需向後延遲3小時,待升級完成后我們將及時公告通知用戶.
1900/1/1 0:00:00