前言
北京時間2022年4月2日晚,InverseFinance借貸協議遭到攻擊,損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
攻擊tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻擊tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
Coinbase報告:消費者和機構的交易量較去年同期分別下降了70%和54%:金色財經報道,周四,Coinbase發布了Q2財報,顯示消費者和機構的交易量較去年同期分別下降了70%和54%。Coinbase將這一下降歸因于多種因素,包括加密貨幣整體市值的下降。加密貨幣的平均價格自2021年高點以來大幅下跌,市場波動性較低,這減少了獲得高回報的機會。BTC自3月份以來一直保持相對穩定,進一步導致交易量下降。這次下跌標志著加密貨幣行業的重大逆轉,而在一年前這還只是炒作。[2023/8/7 21:28:29]
攻擊者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
比特幣市值占比回升至38%,加密貨幣總市值跌破8600億美元:金色財經報道,12月16日,據Coingecko數據顯示,當前比特幣市值占比回升至38%,以太坊市值占比暫報16.9%,USDT、USDC、BUSD三種Stablecoin市值占比分別為7.49%、5.12%、2.12%。
全網加密貨幣總市值為859,382,583,987美元,24小時跌幅達3.2%。[2022/12/17 21:49:38]
攻擊者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
巨鯨0xcc505已對Punk 372提出1750 ETH競價:金色財經報道,據 @CryptoPunks Bot 在社交媒體披露數據顯示,加密巨鯨0xcc505已對Punk 372提出1750 ETH競標價,約合 2,126,110.08 美元。如果這筆交易成交,那么按照 ETH 計價該 Punk 的交易額將會創下歷史第 9 高記錄。據 OpenSea 最新數據顯示,當前 CryptoPunks 地板價為 74.65 ETH,24 小時漲幅 3.75%。[2022/7/10 2:03:29]
攻擊合約:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻擊流程
tx1:
1、Sushiswap兌換,300WETH=>374.38INV
2、Sushiswap兌換,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兌換,690307.06USDC=>690203.01DOLA
4、Sushiswap兌換,690203.01DOLA=>1372.05INV
tx2:
1、質押INV作為抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及細節
在第一筆攻擊交易中,攻擊者通過巨額的WETH=>INV兌換,抬高Sushiswap中INV對WETH的價格。
緊接著在15秒后的下一個塊中實施了第二筆攻擊交易,質押INV作為抵押物,由于上一個塊的價格操縱導致預言機對INV的高估值,使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。
實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分,由于預言機采用了TWAP類型,于是將攻擊拆分成兩段,首先通過巨額資金的兌換操縱交易對價格,然后搶先交易保證在下一個塊中第一時間完成套利離場。
總結
本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機,但在巨額資金和現有的搶先交易技術的基礎上,依然存在攻擊的可能。因此,TWAP類預言機的窗口期時間也需要進行合理的設置。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
根據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為8,208,774,620美元,突破82億美元.
1900/1/1 0:00:00TRONSCAN最新數據顯示,過去二十七周,TRX持續處于通縮狀態,通縮量達3.82億枚TRX.
1900/1/1 0:00:001、 據BTC.com數據,在哈薩克斯坦恢復網絡后,近三日比特幣挖礦全網算力已經超過200EH/s,達到歷史新高。此前外界普遍預計,2022年比特幣全網算力將達到300EH/s.
1900/1/1 0:00:002022年2月11日至2月20日,為期10天的ETHDenver會議在美國丹佛市順利落幕。這是目前規模最大、持續時間最長的ETH活動.
1900/1/1 0:00:002022年2月22日,LunarCrush的2月22日ALTrank排名中,WMT榮登榜首,LunarCrush一直專注于“用社交網絡監控加密貨幣”.
1900/1/1 0:00:00推薦理由:本文講述了ERC-721R合約標準出現的必要性以及想要實現的目的,接著講述了合約標準的工作原理,并針對幾個關于合約的典型問題進行解釋,可以讓讀者更好地了解ERC-721R合約標準.
1900/1/1 0:00:00