前言
北京時間2022年4月2日晚,InverseFinance借貸協議遭到攻擊,損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
攻擊tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻擊tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
某巨鯨地址今日凌晨轉移超2.56億枚MANA,價值約1.9億美元:2月21日消息,據Santiment數據,某巨鯨地址今日凌晨將2.5631億枚MANA轉移至新地址,價值1.902億美元。此次轉賬是Decentraland網絡上有史以來最大的交易之一。[2023/2/21 12:18:33]
攻擊者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻擊者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
“山寨幣”和“元宇宙”兩詞被收錄進韋氏大詞典:金色財經報道,韋氏大詞典(Merriam-Webster)最近將370個新詞匯加入其中,在添加的新術語中,包含了“山寨幣(Altcoin)”和“元宇宙(metaverse)”兩個與加密貨幣行業相關的詞匯。韋氏大詞典特約編輯 Peter Sokolowski 表示,新詞匯提供了一個了解我們不斷變化的語言和文化的窗口,只有當有明確和持續的證據證明這些詞匯被使用時,它們才會被添加到韋氏大詞典中。另據谷歌趨勢數據顯示,“元宇宙”在五個國家中搜索次數最多,分別是:新加坡、土耳其、中國、塞浦路斯和阿聯酋。(bitcoinist)[2022/9/11 13:22:11]
攻擊合約:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Solana鏈上NFT應用Primitives完成400萬美元種子輪融資,Redpoint領投:5月25日消息,Solana鏈上NFT應用Primitives宣布完成400萬美元種子輪融資,本輪融資由Redpoint領投,Union Square Ventures、Harlem Capital、Stellation Capital等參投。Primitives提供了一個有趣、易于使用的移動網站,幫助用戶免費創建和共享NFT。此外,Primitives還內置了一個原生加密錢包讓用戶保存NFT。[2022/5/25 3:41:39]
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻擊流程
tx1:
1、Sushiswap兌換,300WETH=>374.38INV
2、Sushiswap兌換,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兌換,690307.06USDC=>690203.01DOLA
4、Sushiswap兌換,690203.01DOLA=>1372.05INV
tx2:
1、質押INV作為抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及細節
在第一筆攻擊交易中,攻擊者通過巨額的WETH=>INV兌換,抬高Sushiswap中INV對WETH的價格。
緊接著在15秒后的下一個塊中實施了第二筆攻擊交易,質押INV作為抵押物,由于上一個塊的價格操縱導致預言機對INV的高估值,使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。
實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分,由于預言機采用了TWAP類型,于是將攻擊拆分成兩段,首先通過巨額資金的兌換操縱交易對價格,然后搶先交易保證在下一個塊中第一時間完成套利離場。
總結
本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機,但在巨額資金和現有的搶先交易技術的基礎上,依然存在攻擊的可能。因此,TWAP類預言機的窗口期時間也需要進行合理的設置。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:INVOLAETHDOLInvest Like Stakeborg IndexSOLARIXETHEKingDolphin Token
Qredo市場營銷主管CristóbalBlancoGarcía回顧了Qredo參與的薩爾瓦多比特幣銀行馬拉松大會。也分享了他對拉丁美洲2022年及以后的加密潛力感到更加興奮的原因.
1900/1/1 0:00:00由全球最大的Web3.0多鏈加密錢包BitKeep與Polygon舉辦的首屆Polygon共識大會將于5月1日正式開幕.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00DankDAO 前言 自從去年10月Dank協議推出以來,我們遇到了來自世界各國和地區的許多密碼愛好者。大家聚集在一起是因為有共同的信仰。我們看到了不同文化、不同思想的碰撞,也看到了創新的火花.
1900/1/1 0:00:00Qredo很難定義。它是基于兩個經常被誤解的密碼學突破的一系列創新:區塊鏈和多方計算(MPC)。為了提煉這種復雜性并使其更易于消化,人們經常使用類比來將Qredo與更熟悉的概念進行比較.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00