EFI:DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi一周数据速览（3.15-3.21）:金色财经报道，据欧科云链OKLink数据显示，本周涨幅前三的币种为：Sake7日涨幅93.50%，锁仓量1516万美元（+15.9%）；Orion Protocol7日涨幅53.70%，锁仓量2369.3万美元（+13.92%）；RAMP7日涨幅49.80%，锁仓量5270.77万美元（+46.42%）；此外，当前以太坊上稳定币流通总量达到415.7亿美元。更多数据见下图。[2021/3/22 19:07:08]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

OKEx DeFi播报：DeFi总市值159.7亿美元，OKEx平台VALUE领涨:据OKEx统计，DeFi项目当前总市值为159.7亿美元，总锁仓量为176.4亿美元；行情方面，今日DeFi代币普涨，OKEx平台DeFi币种涨幅前三位分别是VALUE、WING、GHST；截至17:00，OKEx平台热门DeFi币种如下。[2020/12/8 14:34:52]

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

分析：流动性挖矿提高DeFi关注度，增长能否持续仍是重要问题:过去两个月DeFi增长是多方面的。尽管流动性挖矿炒作和随后价格上涨可能有助于吸引更多关注，但由于投机活动，基本指标高度失真。无论是新用户还是交易量，去中心化交易所似乎从这场炒作中受益最大，似乎加速了本已向好的趋势。增长能否持续仍是重要问题。

Synthetix联合创始人Kain Warwick称，“人们总有可能在耕种收益后找到新领域，因此，引导流动性并不能保证协议能留住用户。但通过某种激励措施来引导流动性是吸引新来者的一个很好方法，因为如果你有任何与产品市场契合的类似东西，那么很可能会有一些粘性。”

yearn创始人Andre Cronje表示，“所有追求产量的人都跑进来，然后离开了。”他认为这是一件消极的事情，就像一群蝗虫。“但在它们毁坏庄稼之后，有时会长出更强壮的庄稼，一些蝗虫仍存在，它们最终会共生而不是最初的寄生。”

Cronje认为，收益耕作的最初效果是不可持续的，这在新来者中造成一种错误看法，即1000%的收益是正常的。一旦这种情况不再存在，用户口碑就会变得很糟糕。“现在它被过度炒作了；很快它就会被憎恨；我认为，之后剩下的将相当酷。”（Cointelegraph）[2020/8/9]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

火币朱嘉伟：DeFi和CeFi的目标一致，但二者的实现路径不同:金色财经现场报道，8月5日下午，“2020 Cointelegraph中文大湾区·国际区块链周”在深圳举行，火币集团首席运营官朱嘉伟发表了题为《DeFi 对 CeFi：谁才是行业未来的信用桥梁》的主题演讲，他表示，CeFi用户本质是信任依据标准提供服务的专业金融机构以及组成这个机构的从业人员。DeFi用户本质是信任由专业程序员编写和自动执行的代码，但代码也是由人编写的。尽管两边目标一致，但DeFi和CeFi的实现路径不同。DeFi通过自动和精准执行的代码使人们确信，而CeFi通过制度标准和金融专家的经验使人们确信。[2020/8/5]

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint，换取1156个xINV代币，再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

标签：EFIINVDEFDEFIdefi币种INV币Origen DEFI99DEFI

火币APP热门资讯