北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失。
該事件發生的根本原因在于外部價格預言機依賴導致價格被操縱,因此攻擊者可通過操縱價格來借用資產。
Curve.fi中進行調換,以操縱交易中的價格,該交易地址為:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
由于SushiSwap:INV的流動性非常低,用300ETH換取INV將大幅增加INV價格。
隨后,攻擊者正式發起攻擊:
Upbit已限制以Haru Invest為對象的加密資產提現:6月13日消息,韓國加密交易所Upbit已限制以數字資產管理平臺Haru Invest為對象的加密資產提現。
此前報道,Haru Invest疑似已關閉其辦公室,并注銷部分社交媒體賬號。[2023/6/13 21:33:52]
1.攻擊者把在準備階段獲得的INV存入,并鑄造了1746枚XINV代幣。
2.XINV的價格計算:根據SushiSwap:INV對中的INV價格所計算。如上所述,INV的價格被操縱,因此每XINV的價值為20926美元。
3.隨著XINV的價格被修改,攻擊者能夠用鑄造的XINV代幣借用到如下資產:1588枚ETH,94枚WBTC,3999669枚DOLA與39枚YFI。
Ark Invest CEO:監管機構不應封鎖透明、可審計的DeFi:金色財經報道,Ark Invest首席執行官Cathie Wood在社交平臺表示,當美國銀行系統因銀行擠兌威脅到地區銀行而陷入癱瘓時,比特幣、以太坊和其他加密網絡卻不受影響繼續運行。銀行體系的不穩定威脅到了穩定幣,穩定幣是 DeFi 的入口,這與監管機構的言論形成了鮮明對比。
監管機構不應該封鎖去中心化、透明、可審計、運轉良好且沒有中心故障點的金融平臺,而是應該關注傳統銀行體系中正在出現的中心化、不透明的故障點。
他們本應完全了解這場顯而易見的危機:資產和負債期限錯配,短期利率在不到一年的時間內飆升 19 倍,銀行體系中的存款自上世紀 20 年代以來首次出現同比下降。[2023/3/15 13:04:45]
在這種情況下,因為timeElapsed==15,預言機合約Keep3rV2Oracle的函數_update()中'timeElapsed>periodSize'的檢查將被繞過。這意味著最后的累積價格還沒有被更新。由此可見,函數_computeAmountOut()中的amoutOut會比預期的數額大,因為priceCumulative已經被操縱了,但_observation.priceCumulative沒有被更新。
Inverse Finance:已暫停借款服務,今晨DOLA從貨幣市場Frontier中被移除:金色財經消息,DeFi協議Inverse Finance發推稱,在今天上午發生DOLA被從貨幣市場Frontier移除的事件后,Inverse已經暫時暫停了借貸業務。正在調查這一事件,但沒有用戶的資金被拿走或面臨風險。將很快提供更多細節。[2022/6/16 4:32:33]
一方面,XINV的價格依賴于SushiSwap:INV對的儲備,其流動性非常低。
另一方面,TWAP可以防止閃電貸攻擊。理論上,攻擊者能夠通過"犧牲"一些錢來操縱價格,也就是說,用他自己的錢來改變價格。在這個特殊的價格預言機設計中,如果經過的時間沒有超過30分鐘,當前的價格不應該被用來計算出金金額。
動態 | Fomo3D核心開發者Inventor因健康原因離開:Team Just團隊聲明:核心成員Inventor因健康原因離開團隊。此后,Inventor將不再擔任Fomo3D項目的Solidity開發,并不再參與Team Just團隊的項目。[2018/12/6]
資產追蹤
據CertiKSkyTrace顯示,價值約1450萬美元的資產被盜后已被轉移到TornadoCash。
利用漏洞進行交易的準備期間:?
https://etherscan.io/tx/0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
利用漏洞進行交易發起攻擊:?
https://etherscan.io/tx/0x600373f6752132https://etherscan.io/tx/0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
攻擊者地址1:https://etherscan.io/address/0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻擊者地址2:?
https://etherscan.io/address/0x8b4c1083cd6aef062298e1fa900df9832c8351b3
攻擊合約:?
https://etherscan.io/address/0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
預言機合約:?
https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code
SushiSwapINV-ETHPair:?
https://etherscan.io/address/0x328dfd0139e26cb0fef7b0742b49b0fe4325f821
XINV合約地址:?https://etherscan.io/address/0x1637e4e9941d55703a7a5e7807d6ada3f7dcd61b#code
Keep3rV2預言機合約地址:?
https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code
寫在最后
現如今,很多項目都會用到預言機,部分項目還會對其具有很強的依賴性。安全審計,會審查預言機的設計合理性、價格算法以及經濟模型等。
因此,CertiK的安全專家建議:盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性。
Tags:INVETHINVERSCBitcoinVendethylalcoholSport InvestingStartupersCoin
DearValuedUsers,HuobiGlobalwillbeopeningFUSE(FuseNetwork)?spottrading(FUSE/USDT)at15:00(UTC)onMar.
1900/1/1 0:00:00原文作者:0xclancularius,律動BlockBeats如果說,幾天前Web2的投資人在直播中懷舊和Web3新生從業者人人頂著幾萬美元的頭像聊要不要輟學的場景.
1900/1/1 0:00:00如果說2021年是元宇宙元年,那么毫無疑問,隨著騰訊,阿里巴巴,字節跳動等巨擘的紛紛押注掀起了國內各行各業對元宇宙概念的狂熱追捧,一場轟轟烈烈的元宇宙中國元年就此拉開了帷幕.
1900/1/1 0:00:00尊敬的唯客用戶您好! 因應近日市場坡動劇烈,部份用戶操作BCHUSDT時,伴隨著較高之風險,為保護用戶的資金安全,BCHUSDT閃電交易已優化,最大可開張數調整為500張,請用戶多注意交易風險.
1900/1/1 0:00:00作者:Xiang|W3.Hitchhiker深度解析IPFS:新一代互聯網底層協議Filecoin是旨在存儲人類社會最重要信息的分布式網絡,Filecoin是基于IPFS的分布式存儲網絡.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00