引言:2022年4月2日,DeFi借贷协议InverseFinance因Keep3rTWAP预言机价格操纵遭受攻击,累计损失1,475万美元。
作者|0x6617
案件分析|链上天眼团队
近年来,随着DeFi市场规模的指数型增长,预言机作为DeFi安全性的重要组成部分,针对它的攻击已是屡见不鲜,而本次INV的价格被操纵,既不是闪电贷攻击,与InverseFinance的智能合约或前端代码也无关,而是TWAP预言机使用的时间窗口太短。
价格操纵的另一面是链上套利。DeFi兴起后,以太坊等区块链网络不仅支撑链上资产转账,还有了如挖矿、借贷、衍生品等智能合约的交互场景,这也使得链上可捕获的价值变多,主要通过套利、清算的MEV提取的价值也在迅速增加,尤其是Flashbots推出可视化MEV产品「MEV-Explorev1」,更是将MEV清晰地呈现在我们眼前。
欧科云链推出首款链上安全主题数字藏品:5月11日消息,据欧科区块链官方公众号消息,首个以链上安全为主题的数字藏品:MITA正式发布。据悉,该藏品以欧科云链旗下链上天眼产品为原型,基于趣链&红洞科技技术开发,首次发行500份。本次发布为公益行为,用户仅可通过官方渠道参与活动免费获得,获取后仅可用于收藏,不支持转赠与交易。[2022/5/11 3:06:38]
由于存在链上套利机器人不间歇的搬砖行为,如果攻击者操纵预言机,又不是借助闪电贷在一个区块内完成的话,防止MEV-bots抢跑就成了攻击者需要考虑的问题。
2022年1月26日,有黑客使用了与InverseFinance攻击者类似手法,攻击了借贷平台Rari的IndexCoopPool,但却上演了一幕「黑吃黑」,黑客的攻击被MEV-bots「截胡」,最终亏损68ETH离场。
港股收盘:欧科云链收跌1.96%,火币科技收跌5.90%:今日港股收盘,恒生指数收盘报26341.490点,收跌2.06%;欧科集团旗下欧科云链(01499.HK)报0.150港元,收跌1.96%;火币科技(01611.HK)报3.670港元,收跌5.90%。[2020/11/30 22:35:25]
虽然InverseFinance此次事件的攻击者预先准备了241个批量地址,每个地址打入1.5ETH,但并不是为了发动DDOS攻击阻截其他人在监测到INV价格异常波动后的套利行为,而是为了保证他的攻击交易能被打包进下一个区块。
如果有MEV-bots套利,则他的后续攻击有可能跟IndexCoopPool的攻击者一样,面临赔了夫人又折兵的局面。
欧科云链副总裁张超:5G是血液、IOT是眼睛、区块链是动脉、人工智能是大脑:10月13日,欧科云链副总裁张超在福州举办的第三届数字中国建设峰会上指出,区块链技术同5G、IOT(物联网)、人工智能、大数据等技术都是信息化系统的一部分,应该统筹使用才能发挥其价值。其表示,5G意味着更快的网络传输速度,作为数据传输的通道,是血液;IOT意味着更多的数据采集入口、感知层,作为现实世界信息化的基础设施,是眼睛;区块链可解决各个角色主体之间的交互逻辑和数据传输规则,是动脉;人工智能可基于数据和模型以更少的开发成本实现更好的系统服务,是大脑。[2020/10/13]
欧科云链研究院:国内矿机芯片厂商的成功 对我国半导体产业发展有重要意义:近日,欧科云链研究院发布的最新研报指出,国内矿机芯片厂商用了不到十年的时间就在全球取得领先地位,是国内工程师人口红利,在动态逻辑、全定制方法学等技术设计上领先的结果。相比国内近三十年来耗费巨资扶持但仍显孱弱的半导体产业,矿机芯片领域的成功更显得难能可贵。该研报同时指出,目前主流市场尚未认识到矿机芯片对我国半导体行业的价值和意义,其主要贡献至少在以下三个方面:对国内半导体产业人才的培育,在AI边缘运算和延续摩尔定律等前沿领域的技术积累,为国内半导体产业链上的诸多厂商提供重要收入来源。[2020/7/3]
InverseFinance被盗过程全解析
InverseFinance是一套无需许可的去中心化金融工具,由运行在以太坊区块链上的去中心化自治组织InverseDAO管理。InverseFinance的主要产品是Anchor和DOLA。
港股收盘:欧科云链收涨8.29% 火币科技收平:今日港股收盘,恒生指数报24427.19点,收涨0.52%;欧科集团旗下欧科云链(01499.HK)报0.222点,收涨8.29%;火币科技(01611.HK)报3.30点,收平;雄岸科技(01647.HK)报0.226点,收涨2.73%。[2020/6/30]
Anchor是一种货币市场和合成资产协议,可实现资本高效的借贷。DOLA是一种跟踪1美元价格的链上资产。DOLA可以用Anchor上的其他资产作为抵押来铸造,也可以自己作为抵押借入Anchor上的其他资产。INV具有附加功能,可用作锚定中的抵押资产。
经欧科云链链上天眼分析,本次攻击的关键在于,价格预言机虽然取了TWAP价格,但时间窗口较短,仅是相邻两个数值,由此使得操纵TWAP预言机成为可能。
另外SushiSwap:INV的流动性非常低,仅用300ETH换取INV,即可大幅拉升INV价格,这也使得攻击者以1,746INV作为抵押品,在InverseFinance借出1,475万美元的资产,而后在INV价格被修正后,攻击者的INV抵押品被清算。
相关地址&交易列表:
攻击者地址1:
0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
攻击者地址2:
0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻击合约:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
准备批量账号交易:
0x561e94c8040c82f8ec717a03e49923385ff6c9e11da641fbc518ac318e588984
兑换INV交易,交易块高「14506358」:
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
利用漏洞实施攻击,交易块高「14506359」
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
预言机合约:
0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程:
1)攻击者从TornadoCash中提取了901ETH,准备批量账号——通过Disperse分别向241个干净的账号发送1.5ETH作为手续费,交易哈希「0x561e」。
相似手法,却遇「黑吃黑」
2022年1月26日有黑客以类似的手法攻击了借贷平台Rari的IndexCoopPool,但结果却是攻击失败。
攻击者首先买入285ETH的BED,希望大幅抬高BEP价格影响UniswapV3TWAP预言机,再抵押提前准备的BED借出其他资产。
安全,是DeFi生态繁荣发展的保证
预言机作为DeFi生态重要的基础设施,其安全性是DeFi生态繁荣发展的保证,链上天眼认为,安全审计应审查预言机的价格算法、经济模型等。
项目方在设计借贷池的时候,抵押借贷的经济模型,不仅要关注价格,还要关注流动性,流动性差会导致相应的链上资产价格易被操纵。在上线前应加强对预言机的针对性测试,上线后也需对预言机进行定期的安全检查。
标签:INVMEVETHINV价格INV币MEV价格MEV币ETH钱包地址ETH挖矿app下载Etherael指什么寓意
Monacoin、biotcoingold、zencash、verge以及litecoincash如今皆面临威胁。最近以来,至少有五种加密货币在过去一个月内遭遇攻击威胁.
1900/1/1 0:00:00既然USDT的贬值风险陡增,那么投资者选择其他稳定币来替代USDT就很容易理解。合规的稳定币方面,我们知道有PAX和GUSD等.
1900/1/1 0:00:00Coti首席执行官ShahafBar-Geffen宣布了Cardano新算法稳定币的发布日期。这一消息是在11月21日星期一举行的峰会上发布的.
1900/1/1 0:00:00MaskNetwork的原生代币MASK继续保持上涨趋势,近期大幅上涨。在3月18日撰写本文时,该代币的易手价格为每份来自代币追踪器CoinMarketCap的数据6.19美元.
1900/1/1 0:00:00“ChromeHearts的银子卖金子价,K金卖钻石价。”这句来自潮流爱好者们的评价,完美形容了品牌有多“贵”。即便如此,仍有许多热爱街头潮流文化的年轻人们,对ChromeHearts趋之若鹜.
1900/1/1 0:00:00年关将至,网红徐可是时候宣告她的失败了。据非小号数据显示,10月14日,ONOT的24小时成交额只有0.98美元,此后ONOT的24小时成交量一直在低位徘徊,而自12月4日ONOT被首发交易所K.
1900/1/1 0:00:00