2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,InverseFinance项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。
1分析如下
攻击地址1:
0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻击地址2:
0x8b4c1083cd6aef062298e1fa900df9832c8351b3
BNB Chain宣布成立DeFi联盟:2月17日消息,BNB Chain 宣布成立 DeFi 联盟,该联盟旨在加强 DeFi 中的用例和安全性、开发新产品并提供更多可能性。联盟将聚焦于创新、社区和安全性三个方面,将有助于在 DeFi 协议设计中充分考虑用户需求,并在部署之前彻底辩论和测试所有新功能,增强安全性并消除技术问题和错误。
DeFi 联盟的成员包括:PancakeSwap、LayerZero Labs、NodeReal、MCDEX、DODO、Venus Protocol、Deri Protocol、Tranchess、CelerNetwork、Alpaca Finance、ApolloX、Chainlink 以及 GSR。[2022/2/17 9:57:14]
攻击交易hash:
IOST开启百万IOST DeFi挖矿奖池:据官方消息,为庆祝IOST正式上线HUSD合规稳定币,IOST链上热门流动性挖矿项目西瓜、冬瓜特举办“玩转HUSD矿池,瓜分100万IOST”活动。
2020年IOST已从稳定币、DEX、跨链、预言机、金融衍生品等方面全面布局DeFi生态,IOST链上集成HUSD稳定币后,可用于IOST链上 DeFi 项目中的质押、交易等各类场景,并将为IOST的DeFi 生态系统带来更多可能性。今后,IOST将与全球各地的合作伙伴建立更加紧密的整合协同关系,通过资金、宣发、技术等多方面的支持,进一步推动IOST DeFi生态发展壮大。[2021/1/25 13:25:59]
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
DeFiBox数据播报:DeFi 总锁仓量持续回升,DEX交易量回暖:据DeFi 门户DeFiBox.com实时数据显示,DeFi 市场锁仓量达到250亿美元,总锁仓量出现持续回升状态,已逼近260.4亿的历史高位。DEX 24小时交易量为27.3亿美元,交易热度回暖。[2021/1/14 16:11:07]
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
攻击合约:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
EOS生态DeFi项目DMD(钻石)质押资产超过5000万美元:EOS生态流动性挖矿项目DMD(钻石)目前质押总资产超过5000万美元,包括1000万EOS、2150万USDT和2620万OGX。此前消息,钻石项目已经通过慢雾的安全审计并完成合约多签,多签参与方包括TokenPocket、EosNattion、慢雾和钻石团队。[2020/9/6]
首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。
攻击者使用300个ETH,兑换出374个INV代币,再用200ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200ETH兑换出1372INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。
在计算Xinv代币价格时,依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。
可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块去mint,不然将会使用操纵价格区块的前面区块去计算价格。
然后攻击者直接把自己持有的1746INV代币全部mint,换取1156个xINV代币,再依靠持有的xINV借出大量代币。
Inversefinance?项目方累计损失估计大约在1500万美元。
在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。