創宇區塊鏈：Inverse Finance 慘遭攻擊，驚現巨額損失_DOLA

前言

北京時間2022年4月2日晚，InverseFinance借貸協議遭到攻擊，損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx1：0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

攻擊tx2：0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

巴塞羅那足球俱樂部與World of Women合作推出第二款NFT Empowerment:6月24日消息，巴塞羅那足球俱樂部與NFT項目World of Women合作推出Masterpiece系列第二款NFT Empowerment，該NFT以足球運動員Alexia Putellas為主角，以致敬她在歐冠半決賽對陣Wolfsburg時的精彩表現。[2023/6/24 21:57:38]

攻擊者1：0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

CZ：銀行系統的失敗和加密沒有太大關系，銀行系統越好對加密越有利:5月1日消息，Binance 創始人 CZ 在 AMA 中發言表示，銀行行業存在了很長時間，因此銀行也變得越來越沒有效率。銀行的失敗和加密的發展沒有太大關系，加密貨幣只是人們進行投資的一種選擇，不同的人喜歡不同類型的資產，人們并不會在銀行失敗之后就進入加密領域。銀行系統越好，對加密越有利。我們應該專注于讓加密使用起來更方便。

CZ 表示，在面對各地的監管時，我認為最大的挑戰是銀行的支持，如果銀行尤其愿意與加密業務合作交流。這樣我們才能真正方便地實現傳統金融系統和加密金融系統之間的流動性整合，這對雙方都有好處。[2023/5/1 14:37:32]

攻擊者2：0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

美聯儲6月和7月加息75個基點的概率均超90%:6月15日消息，據CME“美聯儲觀察”：美聯儲到6月份加息25個基點的概率為0%，加息50個基點的概率為6.3%，加息75個基點的概率為93.7%；到7月份累計加息25、50、75、100個基點的概率均為0%，累計加125個基點的概率為6.3%，累計加息150個基點的概率為93.3%，累計加息175個基點的概率為0.4%。(金十)[2022/6/15 4:27:30]

攻擊合約：0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562

Oracle：0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4

Keep3rV2Oracle：0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻擊流程

tx1：

1、Sushiswap兌換，300WETH=>374.38INV

2、Sushiswap兌換，200WETH=>690307.06USDC

3、DOLA3POOL3CRV-f兌換，690307.06USDC=>690203.01DOLA

4、Sushiswap兌換，690203.01DOLA=>1372.05INV

tx2：

1、質押INV作為抵押物

2、借走1588ETH、94WBTC、4MDOLA、39.3YFI

漏洞原理及細節

在第一筆攻擊交易中，攻擊者通過巨額的WETH=>INV兌換，抬高Sushiswap中INV對WETH的價格。

緊接著在15秒后的下一個塊中實施了第二筆攻擊交易，質押INV作為抵押物，由于上一個塊的價格操縱導致預言機對INV的高估值，使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。

實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分，由于預言機采用了TWAP類型，于是將攻擊拆分成兩段，首先通過巨額資金的兌換操縱交易對價格，然后搶先交易保證在下一個塊中第一時間完成套利離場。

總結

本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機，但在巨額資金和現有的搶先交易技術的基礎上，依然存在攻擊的可能。因此，TWAP類預言機的窗口期時間也需要進行合理的設置。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：INVETHDOLAOLAINVOXtogetherbnb手游下載安裝DOLANCOLA幣

中幣下載