以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

創宇區塊鏈:Inverse Finance 慘遭攻擊,驚現巨額損失-ODAILY_IDO:VeriDocGlobal

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年4月2日晚,InverseFinance借貸協議遭到攻擊,損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

攻擊tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

Solana上的Lido將于11月中旬升級至V2版本:11月2日消息,流動性質押協議Lido的創始團隊P2P Validator在推特上宣布,將于11月中旬將在Solana上的Lido智能合約升級至V2版本。本次升級側重于讓驗證者更去中心化,并允許運營商使用其現有的公共Solana節點而傭金不超過5%。

升級的主要變化包括:驗證者將不再需要為Lido設置提款權限,將直接在賬戶中收到區塊獎勵和SOL的質押獎勵;不需要100%傭金節點,節點運營商可以使用他們在Lido的公共節點或將他們現有的Lido節點公開;將最大節點傭金設置為5%,以便有資格在Solana上接收來自Lido的委托。[2022/11/2 12:08:13]

攻擊者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

機構分析:全球通脹將見頂 但回歸目標則路途遙遠:金色財經報道,預計全球通脹年率將在第三季度達到9.8%的峰值,第四季度小幅下降至9.5%,2023年底為5%。這是朝著正確方向邁出的一步。這并不意味著危機已經結束。在歐洲,極高的能源成本意味著價格還會進一步上漲。而在美國,工資的快速上漲意味著,核心CPI仍將遠高于美聯儲的舒適區間。[2022/10/23 16:35:54]

攻擊者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

攻擊合約:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562

MetaThaicoin(TAC)已經完成全新的DAO構建:據官方消息,MetaThaicoin宣稱,TAC已經完成在T生態上構建DAO基礎設施,將會在8月3日推出。TAC的DAO治理是擁有穩定資產支持的DEFI經濟,玩家可以通過質押TAC代幣DEFI挖礦,產出的礦稅用于DAO治理。形成一個閉環DAO治理經濟。同時MetaThaicoin還宣稱,希望能夠通過TAC DAO幫助到市場用心研發區塊鏈應用的項目,幫助大家能夠平穩度過瓶頸。[2022/7/31 2:49:58]

Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4

Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻擊流程

tx1:

1、Sushiswap兌換,300WETH=>374.38INV

2、Sushiswap兌換,200WETH=>690307.06USDC

3、DOLA3POOL3CRV-f兌換,690307.06USDC=>690203.01DOLA

4、Sushiswap兌換,690203.01DOLA=>1372.05INV

tx2:

1、質押INV作為抵押物

2、借走1588ETH、94WBTC、4MDOLA、39.3YFI

漏洞原理及細節

在第一筆攻擊交易中,攻擊者通過巨額的WETH=>INV兌換,抬高Sushiswap中INV對WETH的價格。

緊接著在15秒后的下一個塊中實施了第二筆攻擊交易,質押INV作為抵押物,由于上一個塊的價格操縱導致預言機對INV的高估值,使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。

實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分,由于預言機采用了TWAP類型,于是將攻擊拆分成兩段,首先通過巨額資金的兌換操縱交易對價格,然后搶先交易保證在下一個塊中第一時間完成套利離場。

總結

本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機,但在巨額資金和現有的搶先交易技術的基礎上,依然存在攻擊的可能。因此,TWAP類預言機的窗口期時間也需要進行合理的設置。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:OLAINVLIDIDOSolarfareTinvilleBolideVeriDocGlobal

幣安app官方下載最新版
為了發展生態,波卡官方都做出了哪些努力?-ODAILY_ARI:WEB

Polkadot生態研究院出品,必屬精品 背景 2021年11月11日,波卡迎來了上線后的重要里程碑,波卡網絡平行鏈插槽Auction正式啟動,在經歷了一個多月的激烈角逐后.

1900/1/1 0:00:00
World Mobile押注非洲,完成Alphabet Loon未完成的夢-ODAILY_ORL:Himo World

電信運營商為坦桑尼亞提供2.5億美元的計劃總部位于倫敦的公司已開始在肯尼亞安裝空中節點 谷歌Loon項目氣球攝影師:MartyMelville/AFP/GettyImages算法穩定幣項目UPF.

1900/1/1 0:00:00
Terra生態指南:一文讀懂Luna和UST-ODAILY_Terra:eternal

“UST取得了DeFi社區的信任,它是名副其實的去中心化穩定貨幣,不需要中心管理機構確保有充足的儲備來支持價格。穩定貨幣通過質押、流動性管理和收益率生成在DeFi中發揮著重要作用.

1900/1/1 0:00:00
打造DeFi參與捷徑,頂峰AscendEX隆重推出CRV、CVX“一鍵挖礦”-ODAILY_CRV:CON

3月14日,頂峰AscendEX重磅上線Convex-MIMDeFi挖礦,并覆蓋PC端和App端.

1900/1/1 0:00:00
SupraOracles專題報告:詳解流動性挖礦-ODAILY_SUPER:supertripchain

流動性挖礦涉及在智能合約中存入加密資產,以換取收益 流動性挖礦可能涉及相當大的風險。本文僅用于教育目的,不應被視為財務建議。在做出任何投資決定之前,請考慮您的個人風險狀況.

1900/1/1 0:00:00
詳解Deus Finance預言機攻擊-ODAILY_SDC:區塊鏈

1.前言 北京時間2022年3月15日,知道創宇區塊鏈安全實驗室監測到DeusFinance遭到黑客攻擊,損失約300萬美元。本文,知道創宇區塊鏈安全實驗室對本次事件進行了全面分析.

1900/1/1 0:00:00
ads