前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
俄罗斯和古巴在制裁中研究用加密货币作为替代方案:金色财经报道,克里姆林宫顾问在哈瓦那宣布,俄罗斯和古巴都面临制裁,正在研究跨境支付的替代方案,包括加密货币。莫斯科已经在开发一种加密结算机制,以规避因入侵乌克兰而施加的金融限制。[2022/11/18 13:22:35]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
加密交易所Bybit被禁止在巴西进行证券经纪:9月6日消息,巴西证券交易委员会(CVM)禁止新加坡加密货币交易所Bybit从事证券经纪业务。在周一公布的一项声明中,CVM下令暂停ByBit向巴西用户“直接或间接公开发售任何证券中介服务,包括通过使用网站、应用程序或社交网络”。根据CVM的说法,ByBit没有获得担任证券中介的授权。在巴西,只有巴西证券交易所B3可以提供证券。ByBit如违法禁令,将被每天处以1,000巴西雷亚尔(相当于194美元)的罚款。4月,Bybit宣布允许巴西用户使用巴西雷亚尔购买加密货币,并推出盈利产品NFT市场。此前,币安曾被CVM叫停。(CoinDesk)[2022/9/6 13:10:36]
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
WhaleAlert:1000枚BTC从Coinbase转入币安:金色财经消息,据WhaleAlert数据显示,1000枚BTC(约21992416美元)从Coinbase转入币安。[2022/8/19 12:35:48]
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
标签:INVBybitETHBITCoinversation Protocolbybit官网app3X Long Ethereum Classic Tokenbitkeep钱包ios版本
尊敬的用户:????? ?? Staking锁仓挖矿将于2022年4月2日20:00开启MOONEY矿池.
1900/1/1 0:00:00DearValuedUsers,?Toprovideyouwithabettertradingexperience.
1900/1/1 0:00:00随着以太坊合并的临近,社区对合并的相关影响以及未来以太坊的规划愈发频繁。本文,我们便围绕这一主旨,提炼出五大常见问题,为大家画画重点.
1900/1/1 0:00:00高盛计划在2022年第二季度开始向其客户提供第一批比特币和其他加密货币的投资工具。华尔街投行和金融服务公司CowenCEOJeffreySolomon表示,客户对数字资产的需求很大.
1900/1/1 0:00:00亲爱的BitMart用户:为配合LED项目方要求,BitMart将会支持LED的代币迁移。BitMart将暂停所有LED相关的功能,关闭LED/USDT交易对.
1900/1/1 0:00:00親愛的用戶:“JASMY團賽活動”已結束:卡券獎勵已分發完成,請在我的-卡券中心查看並領取,卡券自發放當日起14天內有效。NFT奖励已分發至获胜者的TrustWalletBSC地址。若用户没有使用BSC地址,將不会重新發放奖励.
1900/1/1 0:00:00