DeFi 面临四面楚歌?Inverse Finance被盗取约1500万美元_INV:DEFI

2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,InverseFinance项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1:

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2:

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

DeFi总锁仓量回升至584.3亿美元,24小时涨幅0.53%:金色财经报道,DeFiLlama数据显示,DeFi总锁仓量目前已回升至584.3亿美元,24小时涨幅0.53%。

目前DeFi项目中锁仓量排名前三的分别是Lido(76.8亿美元)、MakerDAO(70.1亿美元)、Aave(68.7亿美元)。[2023/1/16 11:13:44]

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi 概念板块今日平均跌幅为6.21%:金色财经行情显示,DeFi 概念板块今日平均跌幅为6.21%。47个币种中7个上涨,40个下跌,其中领涨币种为:WNXM(+17.61%)、COMP(+14.07%)、WAVES(+10.94%)。领跌币种为:BTM(-17.46%)、SRM(-15.86%)、KCASH(-15.36%)。[2021/4/24 20:53:24]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

数据:以太坊上DeFi协议总锁仓量615.5亿美元:据欧科云链OKLink数据显示,截至今日16时,以太坊上DeFi协议总锁仓量约合615.5亿美元。

近24小时锁仓量增幅前三名的分别是imBTC(+20.29%),TokenSets(+18.12%)以及BarnBridge(+14.87%)。

当前锁仓量排名前三的DeFi协议分别是WBTC 70.7亿美元(+1.97%),Maker 68.5亿美元(+1.13%)以及BDP 62.5亿美元(+3.54%)。[2021/3/10 18:32:24]

攻击合约:

MXC抹茶上线EQL-DeFi挖矿产品 并推出无常损失代偿制度:据官方公告,10月5日20:00,MXC抹茶上线EQL-DeFi挖矿产品,支持锁仓ETH挖EQL(Equalizer),最低起投额度0.05 ETH,总额度1000 ETH。此外,MXC抹茶将独家推出无常损失代偿制度,参与期间若因流动性挖矿发生无常损失,MXC抹茶矿池将用该项目盈利冲抵;若盈利不足以冲抵,则损失由矿池备用基金代用户偿付。详情请点击原文。[2020/10/5]

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

攻击者使用300个ETH,兑换出374个INV代币,再用200ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200ETH兑换出1372INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。

在计算Xinv代币价格时,依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块去mint,不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint,换取1156个xINV代币,再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-6:223ms