前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
Robinhood:正努力将狗狗币纳入全新的加密钱包:金色财经报道,推特上的一些加密货币交易员质疑Robinhood何时会对DOGE提供支持,零售交易巨头Robinhood表示,他们正在“努力工作”,试图将狗狗币整合到其全新的加密钱包产品中。Robinhood本周刚刚推出了新的钱包,目前正在向100多万用户推广。新产品作为一个独立的智能手机应用程序运行,使用户能够交易加密资产,访问去中心化应用程序和存储不可替代的令牌。[2023/1/23 11:26:40]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
Cosmos生态隐私数据存储项目JACKAL将于2022年10月26日启动:9月8日消息,Cosmos生态隐私数据存储项目JACKAL将于2022年10月26日启动,符合条件的空投人员会在启动前完成代币申领,随后将披露更多信息。注:JACKAL是部署在Secret Network上的一个具有隐私功能的分布式存储项目。[2022/9/8 13:15:36]
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Coin Center:美财政部制裁Tornado Cash或违反了正当程序及宪法权利:金色财经报道,加密货币倡导组织Coin Center发布博客文章称,美国财政部外国资产控制办公室(OFAC)制裁Tornado Cash可能在法律和宪法上存在缺陷,Coin Center表示,“我们认为OFAC通过将某些Tornado Cash智能合约地址添加到SDN列表中超越了其法律权限,这一行为可能违反了正当程序及宪法权利”。
Coin Center认为,智能合约不能成为可制裁的实体,这样的标准对全世界的代码人员来说都是危险的。文章称,“这一行动发出了一个信号,实际上似乎是为了发出一个信号,美国人不应该使用某种工具和软件,即使是完全合法的目的”。Coin Center承诺其第一步是与OFAC合作,但该组织也表示,“我们将开始与律师探讨对这一行动的法庭挑战。敬请期待。”[2022/8/16 12:27:43]
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
标签:INVETHTERCOI加密货币行情INVESTINGethbox TokenInterstellar AICoinControllerCash
今天圣诞节了,2021即将在欣喜与担忧中结束,欣喜的是圈层在不断扩大,担忧的是日渐提高的操作门槛。 在这一年中,有收获,有感慨,有挫折,有感激.
1900/1/1 0:00:00WanxiangBlockchainLabs,NewChainbase,andDFINITYFoundationAnnouncetheLaunchof2022ICBootcampOnMarch11th.
1900/1/1 0:00:00我认识一个聪明的年轻孩子,一年前从大学毕业,现在在一家大型投资银行工作。他开始发现他讨厌待在华尔街,他想在一家科技创业公司工作。他最近向他的老板们提出了辞职,而老板们的反应是上演了一场说服他留下来的“盛大演出”.
1900/1/1 0:00:00币安:今日会将比特币储备从旧冷钱包地址转入新地址:6月19日消息,币安发推称,将于今日把比特币储备从旧冷钱包地址转入1Pzaqw98开头新地址,可能会导致原地址出现大额转出,但资金是安全的.
1900/1/1 0:00:00介绍 拥有民主化的科学不是很好吗?当然是!然而,许多人会说这是一个乌托邦的愿景,而不太可能成真。简单来说,尽管科学家向资助机构提交了许多好的项目,每个项目都代表了特定群体的需求,但由于公共系统能力有限,并非所有这些项目都能得到资助.
1900/1/1 0:00:00随着全球金融市场数字化进程的不断深化,加密货币推动全新金融范式的形成,金融市场迎来了前所未有的多元化局面,引发市场波动与风险的因素也愈加宽泛.
1900/1/1 0:00:00
宇宙链