以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > BTC > Info

Inverse Finance被盜1450萬美元事件分析-ODAILY_ETH:INVEST價格

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失。

該事件發生的根本原因在于外部價格預言機依賴導致價格被操縱,因此攻擊者可通過操縱價格來借用資產。

攻擊流程

在發起攻擊之前,攻擊者做了如下準備:

1.首先,攻擊者部署了一個惡意合約。該合約地址為:0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

2.其次,攻擊者在SushiSwap/Curve.fi中進行調換,以操縱交易中的價格,該交易地址為:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

Ark Invest過去一周共增持近3000萬美元該股股票:金色財經報道,Cathie Wood旗下Ark Invest基金于本周五再度增持119,429股Coinbase股票,約合640萬美元。其中,Ark Invest通過Ark Innovation ETF增持103,129股Coinbase股票,通過Ark Next Generation Internet增持16,300股Coinbase股票。

此前報道,Cathie Wood旗下Ark Invest基金于本周二增持超過35萬股Coinbase股票,約合2050萬美元,Ark在過去一周內共增持價值2980萬美元Coinbase股票。[2023/3/11 12:57:17]

由于SushiSwap:INV的流動性非常低,用300ETH換取INV將大幅增加INV價格。

Centurion Invest與GEM Digital簽署2500萬美元代幣認購協議:金色財經報道,全球金融和支付解決方案生態系統Centurion Invest宣布與數字資產投資公司GEM Digital Limited (GEM) 簽署了一項2500萬美元的代幣認購協議。Centurion Invest目前擁有CIX Crypto VISA Card、CI Launchpad、CI Earn、CI NFT、CI Pay等多項生態服務,GEM Digital將認購Centurion Invest的CIX代幣,以為其生態提供支持,幫助Centurion Invest通過增強產品、服務、以及投資開發Web3生態推動全球B2C 和B2B用戶大規模采用加密貨幣和數字資產。(prnewswire)[2023/3/9 12:51:02]

隨后,攻擊者正式發起攻擊:

Valkyrie Investments:希望成為GBTC的新發起人和管理者:金色財經報道,專注于加密貨幣的資產管理公司Valkyrie Investments發布公開信稱,希望成為灰度比特幣信托(GBTC)的新發起人和管理者。該公司表示,Valkyrie的比特幣信托產品自2021年1月1日成立以來沒有出現流動性問題。當年晚些時候推出了公開交易的比特幣相關ETF,并在與投資者和合作伙伴的合作和關心方面享有盛譽。Valkyrie Investments還概述了一些“改進GBTC當前管理”的機制,包括:向美國證券交易委員會提交M條例,以促進信托投資者的贖回;將費用削減到“更公平的水平”,建議收取75個基點的費用,這大大低于目前的200個基點;嘗試建立一種贖回機制,為GBTC投資者提供比特幣和現金兩種選擇。[2022/12/31 22:18:01]

1.攻擊者把在準備階段獲得的INV存入,并鑄造了1746枚XINV代幣。

QilinV2版本上線以太坊測試網,將支持UniswapV3:9月15日,據Qilin官方推特消息,去中心化衍生品協議QilinProtocol在以太坊測試網Rinkeby上發布了其V2版本。Qilin同時還公開了V2版本的新特性,包括用戶可以為任意ERC-20資產創建指數合約交易市場,而V1版本中只支持了ETH;新支持了Uniswap-V3作為喂價源,V1版本只支持Chainlink;升級了清算系統,支持實時清算;添加了價格偏移機制,進一步降低流動性提供者的風險等。[2021/9/15 23:27:17]

2.XINV的價格計算:根據SushiSwap:INV對中的INV價格所計算。如上所述,INV的價格被操縱,因此每XINV的價值為20926美元。

3.隨著XINV的價格被修改,攻擊者能夠用鑄造的XINV代幣借用到如下資產:1588枚ETH,94枚WBTC,3999669枚DOLA與39枚YFI。

動態 | Fomo3D核心開發者Inventor因健康原因離開:據RatingToken輿情監控系統提醒,Team Just團隊聲明:核心成員Inventor因健康原因離開團隊。此后,Inventor將不再擔任Fomo3D項目的Solidity開發,并不再參與Team Just團隊的項目。[2018/12/6]

合約漏洞分析

該漏洞主要原因是對價格預言機具有依賴性,并且這中間有30分鐘的窗口期。而攻擊在準備階段完成后正式發生,僅僅用了15秒。

在這種情況下,因為timeElapsed==15,預言機合約Keep3rV2Oracle的函數_update()中'timeElapsed>periodSize'的檢查將被繞過。這意味著最后的累積價格還沒有被更新。由此可見,函數_computeAmountOut()中的amoutOut會比預期的數額大,因為priceCumulative已經被操縱了,但_observation.priceCumulative沒有被更新。

一方面,XINV的價格依賴于SushiSwap:INV對的儲備,其流動性非常低。

另一方面,TWAP可以防止閃電貸攻擊。理論上,攻擊者能夠通過"犧牲"一些錢來操縱價格,也就是說,用他自己的錢來改變價格。在這個特殊的價格預言機設計中,如果經過的時間沒有超過30分鐘,當前的價格不應該被用來計算出金金額。

資產追蹤

據CertiKSkyTrace顯示,價值約1450萬美元的資產被盜后已被轉移到TornadoCash。

其他細節

利用漏洞進行交易的準備期間:

https://etherscan.io/tx/0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

利用漏洞進行交易發起攻擊:

https://etherscan.io/tx/0x600373f6752132https://etherscan.io/tx/0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊者地址1:https://etherscan.io/address/0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊者地址2:

https://etherscan.io/address/0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻擊合約:

https://etherscan.io/address/0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

預言機合約:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

SushiSwapINV-ETHPair:

https://etherscan.io/address/0x328dfd0139e26cb0fef7b0742b49b0fe4325f821

XINV合約地址:https://etherscan.io/address/0x1637e4e9941d55703a7a5e7807d6ada3f7dcd61b#code

Keep3rV2預言機合約地址:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

寫在最后

現如今,很多項目都會用到預言機,部分項目還會對其具有很強的依賴性。安全審計,會審查預言機的設計合理性、價格算法以及經濟模型等。

因此,CertiK的安全專家建議:盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性。

Tags:INVINVEETHESTInverse ProtocolINVEST價格togetherbnb最新版本下載PrimeStone

BTC
Bitfinex周報(0314-0320)-ODAILY_BIT:RIN

數據:Bitfinex上巨鯨已平倉其70%空頭倉位3月15日消息,據Bitfinex合約市場數據顯示,Bitfinex上此前重倉做空的BTC巨鯨現已平倉其大部分空頭倉位.

1900/1/1 0:00:00
加密世界防詐指南-ODAILY_加密貨幣:PPL

加密貨幣經常被描繪成一個金融狂野的西部,一個正在創造大量機會的行業,以及一系列新陷阱。像所有創新事物一樣,當您使用加密貨幣時,您也會面臨風險。我們不僅僅指價格波動.

1900/1/1 0:00:00
TreasureDAO攻擊事件分析-ODAILY_BIT:LAC

前言 北京時間2022年03月03日,知道創宇區塊鏈安全實驗室監測到Arbitrum上TreasureDAO的NFT交易市場出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分NFT.

1900/1/1 0:00:00
DAOrayaki:正在擴張的音樂NFT新版圖與前景-ODAILY_DAO:MOO

音樂有了新的畫布。 通過NFTs直接評價創造者的工作,沒有中間層的干擾。我們正在見證一場新音頻運動革命的早期階段,它憑借“稀缺性”、“粉絲”和“訪問量”驅動.

1900/1/1 0:00:00
SupraOracles與元宇宙游戲Hydraverse達成合作-ODAILY_SUP:AVE

SupraOracles很高興地宣布與Hydraverse合作,Hydraverse是一款元宇宙PVP賽龍游戲,具有“即玩即賺”系統.

1900/1/1 0:00:00
詳解Arweave系列一:什么是Arweave?-ODAILY_AVE:Arweave

拓展閱讀: 詳解Arweave系列二:Arweave初學者的關鍵術語詳解Arweave系列三:Arweave初學者必不可少的工具詳解Arweave系列四:何上傳數據到Arweave當試圖解釋Ar.

1900/1/1 0:00:00
ads