DEF:DeFi面臨四面楚歌？Inverse Finance被盜取約1500萬美元_DEFI

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

#1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

數字銀行Revolut與1inch合作推出DeFi課程:金色財經報道，數字銀行Revolut宣布與去中心化聚合交易平臺1inch合作，推出專注于DeFi的聯合加密“Learn & Earn”課程。該課程由 1inch 開發，分為三節課，幫助用戶了解去中心化金融（DeFi）的基礎知識。

這三節課側重于 DeFi 的三個垂直領域，包括去中心化交易所如何運作、1inch 的“探路者算法”如何運作，以及去中心化自治組織 (?DAO?) 的基本治理。[2022/10/31 12:01:51]

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

DeFi總市值860.40億美元，歐易OKEx平臺BADGER漲幅最大:據歐易OKEx統計，DeFi項目當前總市值為860.40億美元，總鎖倉量為1044.00億美元；

行情方面，今日DeFi代幣普漲；歐易OKEx平臺DeFi幣種漲幅前三位分別是BADGER、SWRV、GHST；

截至18:00，OKEx平臺熱門DeFi幣種如下：[2021/5/8 21:38:42]

攻擊交易hash:

AOFEX今日DeFi流動性挖礦收益已發放，OT現報價15.48AQ:據官方消息，AOFEX自啟動抵押平臺幣OT參與DeFi流動性挖礦活動以來，已成功啟動四期并穩定運行，第二期（UNISWAP）挖礦活動今日已實現年化收益率為58.35%。

AOFEX將持續為用戶篩選優質流動性挖礦項目并實時監控，用戶抵押OT即可參與。

AOFEX數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2020/10/6]

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：INVEFIDEFDEFITINVDefi BombMetaegg DeFiDEFI S幣

幣安交易所app下載