買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > BNB > Info

HTT:Inverse Finance被盜1450萬美元事件分析-ODAILY_BHTT

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失。

該事件發生的根本原因在于外部價格預言機依賴導致價格被操縱,因此攻擊者可通過操縱價格來借用資產。

攻擊流程

在發起攻擊之前,攻擊者做了如下準備:

1.首先,攻擊者部署了一個惡意合約。該合約地址為:0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

2.其次,攻擊者在SushiSwap/Curve.fi中進行調換,以操縱交易中的價格,該交易地址為:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

Haru Invest和Delio投資者正準備發起集體訴訟:6月16日消息,主要在韓國運營的數字資產管理平臺Haru Invest和韓國加密金融公司Delio的投資者正準備通過LKB律師事務所發起集體訴訟。截止昨日,約有410名投資人聚集在Kakao Talk聊天室準備集體訴訟,其中約有120名是來自Delio的投資人。[2023/6/16 21:41:53]

由于SushiSwap:INV的流動性非常低,用300ETH換取INV將大幅增加INV價格。

隨后,攻擊者正式發起攻擊:

1.攻擊者把在準備階段獲得的INV存入,并鑄造了1746枚XINV代幣。

2.XINV的價格計算:根據SushiSwap:INV對中的INV價格所計算。如上所述,INV的價格被操縱,因此每XINV的價值為20926美元。

Valkyrie Investments宣布為區塊鏈項目提供資金管理服務:金色財經報道,數字資產管理公司Valkyrie Investments宣布為區塊鏈項目提供資金管理服務,Valkyrie周三宣布,該服務的目的是使區塊鏈項目能夠更好地管理其資產負債表。資金管理服務將提供現金流管理、專有投資和高級報告。(Coindsek)[2022/2/24 10:12:10]

3.隨著XINV的價格被修改,攻擊者能夠用鑄造的XINV代幣借用到如下資產:1588枚ETH,94枚WBTC,3999669枚DOLA與39枚YFI。

合約漏洞分析

該漏洞主要原因是對價格預言機具有依賴性,并且這中間有30分鐘的窗口期。而攻擊在準備階段完成后正式發生,僅僅用了15秒。

資管巨頭景順Invesco推遲在印度推出加密主題交易基金:11月18日消息,因印度加密監管政策的不確定性,資管巨頭景順Invesco暫時推遲在印度推出區塊鏈交易所交易基金(ETF),新的推出日期將稍后公布。此前消息,Invesco與CoinShares合作推出涵蓋50家擁有加密資產敞口的上市公司的加密主題股票基金,計劃11月24日至12月8日期間向印度投資者開放。(CoinDesk)[2021/11/18 22:00:59]

在這種情況下,因為timeElapsed==15,預言機合約Keep3rV2Oracle的函數_update()中'timeElapsed>periodSize'的檢查將被繞過。這意味著最后的累積價格還沒有被更新。由此可見,函數_computeAmountOut()中的amoutOut會比預期的數額大,因為priceCumulative已經被操縱了,但_observation.priceCumulative沒有被更新。

Curioinvest使用Chainlink預言機給汽車收藏品市場帶來實時定價:Chainlink最近表示,稀有汽車代幣化投資區塊鏈平臺Curioinvest將使用Chainlink的預言機給汽車收藏品市場帶來實時定價。[2020/6/27]

一方面,XINV的價格依賴于SushiSwap:INV對的儲備,其流動性非常低。

另一方面,TWAP可以防止閃電貸攻擊。理論上,攻擊者能夠通過"犧牲"一些錢來操縱價格,也就是說,用他自己的錢來改變價格。在這個特殊的價格預言機設計中,如果經過的時間沒有超過30分鐘,當前的價格不應該被用來計算出金金額。

動態 | 加密資產投資公司 Picks & Shovels 和 CoinVantage 合并:據blog.picks消息,兩家專業的加密資產投資服務公司 Picks & Shovels 和 CoinVantage 宣布合并,押寶機構投資者入場帶來的服務商機。Picks & Shovels 是一家為加密資產領域的機構投資者提供專業投資工具的公司,推出了 Interchange 軟件平臺,可以幫助機構投資者監控和管理加密資產;CoinVantage 此前則是會計事務所 MG Stover & Co 旗下子公司,專業向加密資產投資領域的基金經理和投資者提供包括財務報表、行政管理等中后臺支持。兩家公司表示,合并后將整合提供加密資產的會計及資產管理工具。[2018/12/23]

資產追蹤

據CertiKSkyTrace顯示,價值約1450萬美元的資產被盜后已被轉移到TornadoCash。

其他細節

利用漏洞進行交易的準備期間:

https://etherscan.io/tx/0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

利用漏洞進行交易發起攻擊:

https://etherscan.io/tx/0x600373f6752132https://etherscan.io/tx/0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊者地址1:https://etherscan.io/address/0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊者地址2:

https://etherscan.io/address/0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻擊合約:

https://etherscan.io/address/0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

預言機合約:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

SushiSwapINV-ETHPair:

https://etherscan.io/address/0x328dfd0139e26cb0fef7b0742b49b0fe4325f821

XINV合約地址:https://etherscan.io/address/0x1637e4e9941d55703a7a5e7807d6ada3f7dcd61b#code

Keep3rV2預言機合約地址:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

寫在最后

現如今,很多項目都會用到預言機,部分項目還會對其具有很強的依賴性。安全審計,會審查預言機的設計合理性、價格算法以及經濟模型等。

因此,CertiK的安全專家建議:盡量避免使用流動性低的池子作為價格預言機價格來源,同時對項目進行安全審計從而保證預言機模型的正確性。

Tags:INVETHHTTTPSINVI幣unshETHBHTTtps幣圈

BNB
OIN:分析apecoin背后的元宇宙游戲-ODAILY_APE

2022/3/17,BoredApeYachtClub在推特發布與之有關的生態治理系統代幣ApeCoin正式推出.

1900/1/1 0:00:00
DDX:深度詳解DEX 2.0協議DDDX的Vote to earn模式-ODAILY_DDDX

3月底,BNBChain上的DEX2.0協議DDDX公布了第二輪項目伙伴名單,包括Beefy,Autofarm和dForce在內的12個BNBChain上的知名項目陸續宣布參與DDDX協議的ve.

1900/1/1 0:00:00
區塊鏈:第2層區塊鏈網絡:將加密技術提升到一個新的水平-ODAILY_DareNFT

Qredo將其自己的第2層區塊鏈與去中心化多方計算(MPC)相結合,為數字資產投資者提供全新的基礎設施.

1900/1/1 0:00:00
ORL:World Mobile聘請前沃達豐大眾細分市場負責人為新任CMO-ODAILY_WORLD

WorldMobile宣布聘用SteveJames為其新的CMO,James為人才濟濟的WorldMobile團隊帶來了新的力量,這一決定標志著WorldMobile正在大規模擴展市場及用戶群.

1900/1/1 0:00:00
LIC:執法部門如何追查從Bitfinex被盜的94,000枚比特幣?-ODAILY_ENSP

美國司法部在2022年2月的一份聲明中宣布,在控制了被盜資金的錢包后,它已成功扣押了2016年對加密交易所Bitifinex的黑客攻擊中流失的大部分比特幣.

1900/1/1 0:00:00
SOLA:以太坊殺手,Solana為何在眾多公鏈中脫穎而出?-ODAILY_Solareum

“作為去中心化應用領域的Solana,憑借其閃電般的交易速度和性價比極高的交易費用,已經成為區塊鏈中一位強有力的競爭對手.

1900/1/1 0:00:00
ads