DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

观点：DeFi要成为主流，需要有更多真实世界资产上链:David LightonDeFi等加密资深人士认为，DeFi已经提供了创新的金融产品，但要使其成为主流，需要将更多真实世界的资产上链。（Cointelegraph）[2021/8/22 22:29:37]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

DeFi收益聚合器Yeld.Finance推出漏洞赏金计划:DeFi收益聚合器Yeld.Finance宣布推出漏洞赏金计划，将提供300 YELD作为奖励。如有必要，还会增加奖励。[2021/4/7 19:55:00]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

DeFi 概念板块今日平均涨幅为8.38%:金色财经行情显示，DeFi 概念板块今日平均涨幅为8.38%。47个币种中41个上涨，6个下跌，其中领涨币种为：SWFTC(+83.06%)、BAL(+22.61%)、SUSHI(+20.17%)。领跌币种为：PEARL(-12.55%)、HDAO(-7.62%)、YFV(-7.11%)。[2021/1/29 14:17:05]

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

CoinW将于8月19日19:00在DeFi专区上线OM:据官方消息，CoinW将于8月19日19:00在DeFi专区上线OM/USDT交易对，并开启“充值送OM,-0.1%Maker费率\"活动。

据悉，MANTRADAO运用大众的智慧来创建一个社区自主自治管理，透明和去中心化的web3.0生态系统。同时，建立在ParitySubstrate上的波卡（Polkadot）生态系统。MANTRADAO专注于质押和借贷并把金融和控制权归属于大众并共同增长财富。[2020/8/19]

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint，换取1156个xINV代币，再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

标签：INVEFIDEFIDEFINVE币WEFIdefi去中心化交易所下载Defi Tiger

屎币热门资讯