比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 火必 > Info

Inverse Finance被盜1450萬美元事件分析_HER

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失。

該事件發生的根本原因在于外部價格預言機依賴導致價格被操縱,因此攻擊者可通過操縱價格來借用資產。

Curve.fi中進行調換,以操縱交易中的價格,該交易地址為:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

由于SushiSwap:INV的流動性非常低,用300ETH換取INV將大幅增加INV價格。

隨后,攻擊者正式發起攻擊:

Invictus Capital宣布推出非洲NFT系列:12月20日消息,加密貨幣資產管理公司Invictus Capital宣布推出非洲NFT系列,以展示全球非洲藝術家的潛力。該公司認為,NFT計劃對于將非洲藝術大師與其他大陸聯系起來至關重要。該計劃旨在將優秀的藝術品和區塊鏈網絡結合在一起。(cryptopolitan)[2021/12/20 7:49:58]

1.攻擊者把在準備階段獲得的INV存入,并鑄造了1746枚XINV代幣。

2.XINV的價格計算:根據SushiSwap:INV對中的INV價格所計算。如上所述,INV的價格被操縱,因此每XINV的價值為20926美元。

資管巨頭景順Invesco推遲在印度推出加密主題交易基金:11月18日消息,因印度加密監管政策的不確定性,資管巨頭景順Invesco暫時推遲在印度推出區塊鏈交易所交易基金(ETF),新的推出日期將稍后公布。此前消息,Invesco與CoinShares合作推出涵蓋50家擁有加密資產敞口的上市公司的加密主題股票基金,計劃11月24日至12月8日期間向印度投資者開放。(CoinDesk)[2021/11/18 22:00:59]

3.隨著XINV的價格被修改,攻擊者能夠用鑄造的XINV代幣借用到如下資產:1588枚ETH,94枚WBTC,3999669枚DOLA與39枚YFI。

在這種情況下,因為timeElapsed==15,預言機合約Keep3rV2Oracle的函數_update()中'timeElapsed>periodSize'的檢查將被繞過。這意味著最后的累積價格還沒有被更新。由此可見,函數_computeAmountOut()中的amoutOut會比預期的數額大,因為priceCumulative已經被操縱了,但_observation.priceCumulative沒有被更新。

Grayscale Investment旗下兩支信托產品可以在場外市場中交易:美國資產管理機構 Grayscale Investment 宣布旗下的比特幣現金信托和萊特幣信托已經獲得了許可,將可以在場外市場中進行交易。Grayscale Investment 表示,任何接入美國證券市場的投資者,將可以自由的通過經紀商交易這兩個信托的份額。[2020/8/17]

一方面,XINV的價格依賴于SushiSwap:INV對的儲備,其流動性非常低。

另一方面,TWAP可以防止閃電貸攻擊。理論上,攻擊者能夠通過"犧牲"一些錢來操縱價格,也就是說,用他自己的錢來改變價格。在這個特殊的價格預言機設計中,如果經過的時間沒有超過30分鐘,當前的價格不應該被用來計算出金金額。

Tudor Investment創始人:正在購買比特幣以對沖通貨膨脹:金色財經報道,Tudor Investment創始人、著名宏觀投資者Paul Tudor Jones表示他正在購買比特幣。他認為加密貨幣資產可以抵御由于央行印鈔而導致的通貨膨脹。Jones告訴他的客戶,比特幣類似于1970年代的黃金。[2020/5/8]

資產追蹤

據CertiKSkyTrace顯示,價值約1450萬美元的資產被盜后已被轉移到TornadoCash。

利用漏洞進行交易的準備期間:?

https://etherscan.io/tx/0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

利用漏洞進行交易發起攻擊:?

https://etherscan.io/tx/0x600373f6752132https://etherscan.io/tx/0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊者地址1:https://etherscan.io/address/0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊者地址2:?

https://etherscan.io/address/0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻擊合約:?

https://etherscan.io/address/0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

預言機合約:?

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

SushiSwapINV-ETHPair:?

https://etherscan.io/address/0x328dfd0139e26cb0fef7b0742b49b0fe4325f821

XINV合約地址:?https://etherscan.io/address/0x1637e4e9941d55703a7a5e7807d6ada3f7dcd61b#code

Keep3rV2預言機合約地址:?

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

寫在最后

現如今,很多項目都會用到預言機,部分項目還會對其具有很強的依賴性。安全審計,會審查預言機的設計合理性、價格算法以及經濟模型等。

因此,CertiK的安全專家建議:盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性。

Tags:INVETHHERETHEInvestDigitaltether幣怎么提現Fusion Heroestether幣怎么買

火必
深度解讀:為什么元宇宙游戲SuperCars將引爆鏈游市場?_CAR

導讀 2020年以來市場迎來了大牛市,以DeFi為止的項目因為基礎設施的完善,開始走向大規模應用化.

1900/1/1 0:00:00
Gate.io HODL & Earn: Lock DEP To Earn 100% APR(Phase 2)

TheDEPLock-up&Earn#2willlaunchat8:00UTConApr1atGate.io''s“HODL&Earn”.

1900/1/1 0:00:00
BKEX 關于上線 EMBR(Embr) 并開放充值功能的公告_BKK

尊敬的用戶:?????????BKEX即將上線EMBR,詳情如下:上線交易對:EMBR/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年4月3日20:00提現.

1900/1/1 0:00:00
雙幣投資新產品上線:賺取高達118%年化收益(2022-03-30)_WIT

親愛的用戶: 雙幣投資現已上線新一批不同交割日和行使價格的雙幣投資產品,用戶可獲得高達118%的年化收益.

1900/1/1 0:00:00
參加Biswap (BSW) 必修課,與您分享100,000美元等值獎池_POA

活動時間:2022年04月01日08:00至2022年04月08日07:59點擊按鈕,立刻參與活動活動一:參加Biswap(BSW)學習,參與瓜分75,000美元等值BSW卡券獎勵活動期間.

1900/1/1 0:00:00
數字資產“躺賺”模式開啟,8V.com金融理財就是這么簡單!_加密貨幣

說到理財,相信很多人都有自己的心得。近幾年的理財市場,受到凈值型理財產品轉型的影響,銀行理財產品收益成為不少投資者的“陣痛”.

1900/1/1 0:00:00
ads