INV:DeFi 面臨四面楚歌？Inverse Finance被盜取約1500萬美元_DEF

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

Terra鏈上DeFi鎖倉量為162.9億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為162.9億美元，在公鏈中仍排名第2位。目前，鎖倉量排名前5的公鏈分別為以太坊（1236.5億美元）、Terra（162.9億美元）、BSC（125.5億美元）、Avalanche（89.2億美元）、Solana（86.7億美元）。[2022/1/22 9:06:09]

攻擊交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

波場TRON DeFi總鎖倉值（TVL）已達到64億美金:3月9日，據最新數據顯示，波場TRON DeFi總鎖倉值（TVL）已達到64億美金。據悉，波場TRON官方升級了總鎖倉值（TVL）的算法：TRX的總凍結量等于能量和帶寬之和，其中包括給超級代表投票凍結TRX獲得的能量和帶寬。

波場TRON協議是基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場TRON還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2021/3/9 18:27:46]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

T網（Tokencan)設立Defi和NFT交易專區:據官方消息，2020年9月1日，T網（Tokencan)設立Defi和NFT交易專區。接下來會持續上線熱門優質Defi項目和挖掘優質NFT項目。

據了解，在Defi方面，T網除了開設專區，還成立由經濟模型設計專家彭松牽頭的Defi研究小組，設立了Defi專項技術組和Defi孵化器，為開放金融的實現添磚加瓦。

在NFT方面，T網是首家專注NFT領域的交易所，這和T網團隊在藝術品交易領域、游戲領域、產權交易領域的人才和經驗儲備密不可分。T網是一個有3年歷史的交易所，業務板塊豐富，可以為項目方提供綜合的服務，為中介機構提供多重盈利機會。T網下設MIsscoin項目孵化器、Mr.game游戲平臺、礦業商城、實名區塊鏈等項目可合作場景。2020年T網發展快速，尤其是韓國和日本市場，越南和馬來西亞市場也已經啟動，包括臺灣，海外市場的活躍度達到80%。[2020/9/1]

攻擊合約：

虎符聯合創始人魯炳銓：現階段Defi跟CeFi比較起來是相當早期的:2020年5月23日，由百團大戰、節點咨詢、金色財經主辦，萊比特、算力360聯合主辦的百團大戰礦業峰會·豐水期之戰在成都開幕。

在會上，虎符的聯合創始人魯炳銓表示，年初的時候我看了Defi，可以把Defi產品列成一個一個小銀行，在這些Defi銀行里邊當時存款的數據是10億美金，經過312市場那波大跌，現在所有Defi產品的質押資金應該是在7到8億美金左右，無論是從交易所交易資產規模還是鏈上轉帳數據來看，單純是“幣圈Cefi”里的三大任意一家都是超過現在Defi的行業的整個規模的，更不必說整個龐大傳統金融Cefi了。拿深圳證券交易所舉例，14-15年牛市中國股市有二億股民炒股，單純一個季度的手續費貢獻超過了現在的Defi的儲蓄資金。或許有人會說Defi比CeFi更透明，但很多中心化的商業金融機構也是可以做到這一點，它不去做的原因是考慮到自身的商業化才不去做，并不是說沒有這個方面技術解決能力。但長期來看，Defi產品可能會出現一套更自組織可編程的審計協議自下而上去改變現有金融的一些弊病，達成更高效的“自金融”的狀態。[2020/5/23]

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：EFIDEFIDEFINVREFI價格DefiCliqTradeFlowINVOX

Coinw