INV:DeFi面臨四面楚歌？Inverse Finance被盜取約1500萬美元

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

#1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

DeFi保險協議InsurAce宣布與Fantom流動性聚合器LiquidDriver達成合作:2月18日消息，DeFi保險協議InsurAce宣布與Fantom流動性聚合器LiquidDriver達成合作，InsurAce將會上線LiquidDriver的保險產品，以避免LiquidDriver用戶因合約攻擊而產生資產損失。[2022/2/18 10:01:31]

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

美國SEC委員建議DeFi項目與SEC進行對話:金色財經報道，美國證券交易委員會（SEC）委員、“加密媽媽”Hester Peirce在接受采訪時表示，由于生態系統的多樣性，很難為DeFi定義特定的規則。因此，她建議DeFi項目應該與SEC進行對話。Peirce補充說，SEC需要更加清楚地說明與某些項目相關的代幣是否可以被視為證券。（U.Today）[2021/3/30 19:27:56]

攻擊交易hash:

Bonna Zhu：流動性挖礦刺激DeFi類項目交易量、借貸量增長進一步拓展現金流、收入:7月15日， BitMax Staking產品負責人Bonna Zhu和麥子錢包產品負責人陸遙遠在BitMax有話說第二期首次合體直播，節目由BitMax聯合Math Wallet舉辦，直播主題為《帶你入門DeFi》。

Bonna Zhu（朱神）針對DeFi類項目上漲及財富效應的鏈式反應給出以下觀點：1）DeFi類項目有現金流、收入；2）代幣鎖倉、質押以獲取DeFi平臺現金流、收入分成；3）流動性挖礦刺激DeFi類項目交易量、借貸量增長，進一步拓展現金流、收入；4）質押、鎖倉更有利可圖，進一步推高幣價。而頭部項目的風向標效應，打開了DeFi類資產估值的天花板和想象空間，讓整個板塊中資產產生了輪動和跟風效應。

Bonna Zhu系BitMax.io交易所BitMax Staking產品負責人，首席分析師兼亞洲區業務拓展負責人。Bonna Zhu因選出無數優質DeFi項目，被廣大DeFi社區稱為“朱神”。[2020/7/16]

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：INVEFIDEFIDEF加密貨幣行情INVESTINGScarcity DeFiDeFi Coin BonusPEET DeFi

酷幣交易所