DeFi 面臨四面楚歌？Inverse Finance被盜取約1500萬美元_INV

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

DeFi基準利率今日為3.29%:金色財經報道，據同伴客數據顯示，07月20日DeFi去中心化金融基準利率為3.29%，較前一日下降0.03%。同期美國國債抵押回購率（Repo Rate）為0.06%，二者利率差為3.23%。

DeFi基準利率代表了DeFi融資難易程度，利率越高說明融資成本越高，利率越低說明融資成本越低。其與Repo Rate的利率差則便于DeFi與傳統市場作進行同類比較。[2021/7/20 1:05:01]

攻擊交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

火幣將提供5000萬USDT開啟 “鎖倉HT和HPT參與DeFi流動性挖礦”:據官網公告，火幣全球站將于近期開啟“鎖倉HT參與DeFi流動性挖礦”系列活動。火幣全球站已預備 5000萬USDT 等值的區塊鏈資產用于DeFi流動性挖礦，首期 1000萬USDT 資產將分批啟動。挖礦產生的獎勵將全部回饋給參與活動鎖倉HT和HPT的用戶，

根據公告，用戶僅需 100HT或10萬HPT即可起投，開啟時間和參與方式將以公告形式提前通知。市場人士分析，預估用戶鎖倉HT參與DeFi流動性挖礦的獎勵率（365日累計）約為50%~300%，將在短時間內增加 HT 的買入需求。

由于普通用戶參與DeFi挖礦成本高、操作復雜，火幣推出的 “鎖倉HT參與DeFi流動性挖礦”，極大簡化了普通投資者參與DeFi挖礦的操作流程、降低了參與成本，將推動更多用戶參與DeFi浪潮。[2020/9/2]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

IOST推出“DeFi激勵計劃2.0” ，重金加碼助力開發者掘金DeFi:據IOST官方消息，今日，IOST基金會正式宣布推出“DeFi激勵計劃2.0”，推動DeFi開發者持續創新，催生更多優質的DeFi項目。本次，IOST將重點扶持儲備池DEX、借貸類DeFi產品、穩定幣類DeFi產品、DeFi礦池、預言機、金融衍生品、DAO等項目。

IOST一直致力于打造一個開發者友好、用戶0門檻的的全球化DeFi生態，為全球用戶提供優質的DeFi服務。此前，IOST成立了百萬美元“諾亞預言機”專項基金，吸引了眾多DeFi開發團隊加入IOST生態。本次，IOST“DeFi激勵計劃2.0”將重金加碼，助力更多開發者掘金DeFi。[2020/8/20]

攻擊合約：

Hubble Chain CEO：項目三大核心戰略與DeFi有很多契合點:3月20日，在DeFi2020全球區塊鏈金融高峰論壇暨HUBBLE CHAIN亞太戰略發布會上，Hubble Chain CEO Alex Silva為數千位觀眾現場解讀Hubble Chain三大戰略布局。Alex Silva表示，Hubble Chain三大核心戰略與DeFi有很多的契合點，Hubble Chain將從DeFi吸取養分，持續為每一階段的區塊鏈智能金融體系搭建良好的生態基礎。Hubble Chain是擁有去中心化交易系統的公鏈，以智能挖礦、智能中心、智能孵化器三步戰略為核心，全面打造區塊鏈金融新生態。[2020/3/20]

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：EFIDEFIDEFINVdefi幣官網IC DeFiDEFITINVI幣

中幣下載