前言
北京時間2022年4月2日晚,InverseFinance借貸協議遭到攻擊,損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
攻擊tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻擊tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
萊特幣創始人:減半有助于在不犧牲網絡安全的情況下實現大規模采用:金色財經報道,萊特幣創始人Charlie Lee在Twitter Spaces活動中表示,通貨緊縮減半有助于在不犧牲網絡安全的情況下實現大規模采用。他解釋稱,價格是由供需驅動的,如果供應端減少一半而需求保持不變,那么價格應該會上漲。很多價格走勢都是自我實現的預言,僅僅因為人們認為減半會導致價格上漲,他們就會在減半之前甚至減半之后購買。對于比特幣和萊特幣來說,有時價格在減半之前上漲,有時隨后上漲,有時并沒有真正產生太大的影響。這一切都取決于市場對減半的反應。[2023/8/2 16:12:53]
攻擊者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
LUNA崩盤之后持有少于10枚BTC的地址份額從3.72%增加到17.54%:金色財經報道,據Glassnode數據顯示,在LUNA崩盤之后,持有少于10枚BTC的地址增加了持有量,它們在流通供應中的相對份額從3.72%增加到17.54%,相當于增加了3.82%至79萬枚BTC。[2023/6/14 21:36:09]
攻擊者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
攻擊合約:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
比特幣第十大巨鯨從Bitfinex收到了4,000枚比特幣:金色財經報道,據Lookonchain數據,比特幣第十大巨鯨今天從Bitfinex收到了4,000枚比特幣。自2021年10月11日以來,他從Bitfinex收到了總計69,300枚BTC。并于2022年7月15日將10,000枚BTC轉移到Bitfinex。[2023/1/1 22:19:00]
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻擊流程
tx1:
1、Sushiswap兌換,300WETH=>374.38INV
2、Sushiswap兌換,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兌換,690307.06USDC=>690203.01DOLA
4、Sushiswap兌換,690203.01DOLA=>1372.05INV
tx2:
1、質押INV作為抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及細節
在第一筆攻擊交易中,攻擊者通過巨額的WETH=>INV兌換,抬高Sushiswap中INV對WETH的價格。
緊接著在15秒后的下一個塊中實施了第二筆攻擊交易,質押INV作為抵押物,由于上一個塊的價格操縱導致預言機對INV的高估值,使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。
實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分,由于預言機采用了TWAP類型,于是將攻擊拆分成兩段,首先通過巨額資金的兌換操縱交易對價格,然后搶先交易保證在下一個塊中第一時間完成套利離場。
總結
本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機,但在巨額資金和現有的搶先交易技術的基礎上,依然存在攻擊的可能。因此,TWAP類預言機的窗口期時間也需要進行合理的設置。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
摘要 「政策動向」: -美國財政部確認,加密礦工、錢包提供商不受國稅局稅收報告的約束-美國SEC對加密借貸公司BlockFi處以創紀錄的1億美元罰款-俄羅斯經濟部提出加密挖礦合法化-Binanc.
1900/1/1 0:00:00借款和貸款是DeFi的兩個重要部分,但它們一直缺少一個有效的操作憑證:去中心化的信用評級。 貸款和借款的概念與時間本身一樣古老.
1900/1/1 0:00:00購買和持有比特幣資產并不是讓人們從比特幣網絡獲得權力的原因。讓我們從一個簡單的事實開始:購買和持有比特幣資產并不是讓人們從比特幣網絡獲得權力的原因.
1900/1/1 0:00:00伴隨著DeFi的繁榮,加密數據分析的市場也方興未艾。已實現對一個DeFi項目的初步解析。筆者在使用諸多分析工具后,整理了比較好用的,且市面上推薦度比較高的五類DeFi數據分析工具:看DeFiTo.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00