比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > KuCoin > Info

CER:CertiK:Inverse Finance再遇閃電貸攻擊

Author:

Time:1900/1/1 0:00:00

北京時間2022年6月16日,CertiK審計團隊監測到InverseFinance遭受閃電貸攻擊,導致了約1068.215ETH的損失。

這是近2個多月內,InverseFinance第二次遭遇閃電貸攻擊。在此前于2022年4月2日發生的那起閃電貸攻擊中,黑客成功獲利約1450萬美元。

目前1000枚ETH已被發送到TornadoCash,黑客的錢包內還余7.5萬美元。

攻擊步驟

①攻擊者從AAVE閃電貸出了27,000枚WBTC代幣。

CertiK:假冒的X.AI代幣項目大量流動性已被移除:金色財經報道,據CertiK官方推特發布消息稱,假冒的X.AI代幣項目大量流動性已被移除。部署者通過移除流動性獲取約1.2萬美元。請勿將X.AI與其他同名項目混淆。[2023/8/7 21:29:22]

②WBTC作為流動性被添加到CurvePool中。

③獲得的LP代幣被存入Yearn的Vault。

④Yearn的Vault代幣作為InverstFinance的抵押品,被存入InverseFinance的Yearn3CryptoVault。

Larry Cermak:Paradigm的UNI投資市值或超30億美元:The Block 分析師 Larry Cermak 發推稱:Paradigm的UNI投資市值現在可能超過30億美元。此前他發推稱:如果UNI價格達到11美元,Paradigm不到500萬美元的投資就將價值10億美元。2019年4月Uniswap完成種子輪融資,Paradigm領投。[2021/3/23 19:09:36]

⑤然后,惡意的智能合約使用初始閃貸中剩余的26,775枚WBTC,在Curve3Crypto上換取7500萬USDT。(WETH-USDT-WBTC)

去中心化交易所Balancer通過BAL流動性挖礦治理提案:Balancer協議于北京時間今日凌晨通過社區治理投票,再次修改其流動性挖礦獎金分配方案。Balancer以治理BAL為獎勵為流動性提供者每周發放獎勵。在新通過的提案中,每周14.5萬的BAL獎金(約合350萬美金)中將會有4.5萬(約合108萬美金)分發給BAL其它代幣交易對的流動性提供者。該提案被認為更偏向于以BAL為基礎的流動性池。[2020/8/25]

⑥由于上述步驟操縱了價格預言機,因此抵押品的價格被拉高。隨后,攻擊者利用價格優勢借到價值1000萬美元的美元穩定幣。

⑦7500萬美元的USDT被26,626WBTC換回。

Dai 供應接近歷史新高,6 月以來 Balancer Labs 流動資金已增長 5.3 倍:DTC Capital 投資者 Spencer Noon 發文闡述了 5 個跡象表明 DeFi 采用正在迅速發展。1)首先在 BTC 美元借貸利率上,DeFi 超過了 CeFi。CeFi 用戶已經開始使用 DeFi 協議(例如 MakerDAO)進行再融資。2)目前去中心化穩定幣 Dai 的供應接近歷史新高 1.23 億;3) TokenSets 在 5 月再平衡達到歷史新高,有價值約 4,700 萬美元的加密貨幣在鏈上完成交易;4)盡管自 4 月以來 Synthetix 解鎖了 1600 萬美元的 SNX 的通脹獎勵,總鎖定價值(TVL)仍持續上升,強烈表明該代幣模型是可行的;5)自 6 月 1 日起,Balancer Labs 流動資金從 600 萬美元增至 3200 萬美元,增長了 5.3 倍。5 個池的流動資金超過了 100 萬美元,有 30 個池至少持有 10 萬美元。該協議中有 2 個資金池進入自動作市平臺資金池的前 5 名。[2020/6/13]

⑧攻擊者的智能合約,用借來的DOLA向DOLA-3Pool的CurveMetapool提供流動性。

⑨之后流動性被移除,黑客換取了約1010萬的USDT,這步驟的目的是把攻擊所得的DOLA換成USDT。

⑩最終黑客使用Curve上的3CryptoPool將1000萬USDT轉換為451WBTC。剩余的99,976.294美元被保存在攻擊者的智能合約中。

?償還AAVE上的閃電貸。

漏洞分析

被攻擊的合約使用YVCrv3CryptoFeed作為InverseFinanceDOLA借貸池的價格預言機。YVCrv3CryptoFeed價格預言機返回的價格會根據CurveUSDT-WBTC-WETH池中不同代幣的余額來決定Yearn的Vault代幣價格,因此可被攻擊者操縱。

資產去向

攻擊者在合約上留下了53.244枚WBTC和99,997.294枚USDT,并在他們的合約上調用了`withdrawERC20()`函數,隨后將其撤回。WBTC被換成了983.290枚以太幣,USDT被換成了84.925枚以太幣,總計1068.215枚以太幣。隨后,1000枚以太幣通過多次交易被發送到TornadoFinance,至此黑客結束操作。

InverseFinnace表示,目前已暫停了借貸,沒有用戶的資金會被拿走或者面臨風險,此次事件也正在進一步調查當中,等待提供更多的細節。

寫在最后

價格預言機導致價格被操縱是一個常見問題,通過審計,我們可以發現InverseFinance的風險。在此,CertiK的安全專家建議:

1.使用Chainlink作為價格預言機。

2.使用timeweightedaverageprice的價格作為價格預言機。

3.如果上述價格預言機都不可行,借貸平臺應該保障“提供抵押品”和“借款”不在一個Block里面完成,以此來減少被閃電貸攻擊的可能性。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:CERNCEANCEFIcertikGlobiance ExchangeRasta FinanceWEFI

KuCoin
WEB:Web3能拯救失落的互聯網人嗎

2022年全球VC圈的新寵兒——Web3,成了互聯網人的新出路。互聯網行業經過20年的發展,產業已經高度中心化,在用戶和個人面前,平臺擁有絕對的話語權.

1900/1/1 0:00:00
ETH:流動性危機突現 DeFi反噬加密巨鯨

5月那場因UST脫錨、LUNA歸零帶來的市場恐慌,終究伴隨著加密熊市的低氣壓蔓延到了6月,另一組有「錨定」關系的加密資產stETH和ETH出現異動。這兩種資產的常規兌換比例為1:1.

1900/1/1 0:00:00
NFT:一文總覽亞洲新銳加密風投 SevenX Ventures 投資版圖

SevenX在加密領域公開投資組合共計約80個,涵蓋區塊鏈網絡、DeFi、NFT、GameFi與元宇宙、Web3等諸多領域.

1900/1/1 0:00:00
區塊鏈:金色早報 | 經濟日報:比特幣暴跌還需警惕歸零風險

頭條 ▌經濟日報:比特幣暴跌還需警惕歸零風險6月22日消息,經濟日報評論稱,頻繁暴跌下,比特幣投資風險已展露無遺。相較于6.9萬美元的高點,目前看似跌幅已深,但還需警惕清零風險.

1900/1/1 0:00:00
ZigZag:金色前哨|速覽ZK Rollup訂單簿式DEX ZigZag空投及ID0相關信息

2022年6月21日,基于ZKRollup的L2訂單簿式DEXZigZag宣布,將于6月24日23時在ZigZag交易所上開啟ID0.

1900/1/1 0:00:00
LAYER:Layer2全覽:數據、擴容方案、生態對比

Layer2已經成為以太坊最重要的敘事。隨著Optimism推出代幣,Arbitrum進入奧德賽,用戶參與Layer2的熱情被最大程度地激發出來.

1900/1/1 0:00:00
ads