BTC:禍不單行，Inverse Finance再遇閃電貸攻擊-ODAILY_wbtc幣的最低價格

北京時間2022年6月16日，CertiK審計團隊監測到InverseFinance遭受閃電貸攻擊，導致了約1068.215ETH的損失。

這是近2個多月內，InverseFinance第二次遭遇閃電貸攻擊。在此前于2022年4月2日發生的那起閃電貸攻擊中，黑客成功獲利約1450萬美元。

目前1000枚ETH已被發送到TornadoCash，黑客的錢包內還余7.5萬美元。

攻擊步驟

①攻擊者從AAVE閃電貸出了27,000枚WBTC代幣。

過去一周加密貨幣公司共籌集了超過4400萬美元的新資金:金色財經報道，過去一周加密貨幣公司共籌集了超過4400萬美元的新資金，其中金額最大一筆融資為Web3生態系統Hi從Animoca Brands籌集了3000萬美元，其次是EthStorage成功完成700萬美元種子輪融資，估值達到1億美元。[2023/7/31 16:08:12]

②WBTC作為流動性被添加到CurvePool中。

③獲得的LP代幣被存入Yearn的Vault。

比特幣全網未確認交易數量為155528筆:金色財經報道，BTC.com數據顯示，目前比特幣全網未確認交易數量為155528筆，全網算力為388.4 EH/s，24小時交易速率為4.76交易/s。目前全網難度為51.23 T，預測下次難度上調3.6%至53.08 T，距離調整還剩14天7小時。[2023/6/14 21:34:42]

④Yearn的Vault代幣作為InverstFinance的抵押品，被存入InverseFinance的Yearn3CryptoVault。

⑤然后，惡意的智能合約使用初始閃貸中剩余的26,775枚WBTC，在Curve3Crypto上換取7500萬USDT。(WETH-USDT-WBTC)

NFT市場LooksRare聚合器第一階段已上線:金色財經報道，NFT 市場 LooksRare 聚合器第一階段現已上線，用戶可以將 NFT 添加到購物車，從 LooksRare 與 OpenSea 批量購買，并從 OpenSea 查看交易活動而無需離開網站。此后，用戶可以使用 LooksRare V2 協議進行批量購買。未來，LooksRare 聚合器將支持更多 NFT 市場的購買與批量購買，并支持查看其他 NFT 市場活動，支持其他市場的全球實時地板價與特征數據。目前，LooksRare 聚合器智能合約已經過 Peckshield 正式安全審計與 Code4rena 審計競賽。[2023/3/23 13:20:30]

TradeDog Group推出1億美元Web3 Special Situation基金:金色財經報道，TradeDog Group 宣布推出 1 億美元Web3 特殊情況基金（Web3 Special Situation Fund），Web3 孵化器 TdeFi 將成為該基金戰略合作伙伴。該基金將重組并投資于產品和業務良好但 Token 表現不佳的項目。據悉，多策略基金 TD VC 將會把一部分資金分配給特殊情況投資，TD VC 將根據 Token 項目要求為加密企業提供相匹配的資金注入，以支持數字生態系統長期增長，使 Web3 領域的創造者能夠進一步發展現有的多層區塊鏈生態系統。[2022/12/28 22:11:24]

⑥由于上述步驟操縱了價格預言機，因此抵押品的價格被拉高。隨后，攻擊者利用價格優勢借到價值1000萬美元的美元穩定幣。

⑦7500萬美元的USDT被26,626WBTC換回。

⑧攻擊者的智能合約，用借來的DOLA向DOLA-3Pool的CurveMetapool提供流動性。

⑨之后流動性被移除，黑客換取了約1010萬的USDT,這步驟的目的是把攻擊所得的DOLA換成USDT。

⑩最終黑客使用Curve上的3CryptoPool將1000萬USDT轉換為451WBTC。剩余的99,976.294美元被保存在攻擊者的智能合約中。

?償還AAVE上的閃電貸。

漏洞分析

被攻擊的合約使用YVCrv3CryptoFeed作為InverseFinanceDOLA借貸池的價格預言機。YVCrv3CryptoFeed價格預言機返回的價格會根據CurveUSDT-WBTC-WETH池中不同代幣的余額來決定Yearn的Vault代幣價格，因此可被攻擊者操縱。

資產去向

攻擊者在合約上留下了53.244枚WBTC和99,997.294枚USDT，并在他們的合約上調用了`withdrawERC20()`函數，隨后將其撤回。WBTC被換成了983.290枚以太幣，USDT被換成了84.925枚以太幣，總計1068.215枚以太幣。隨后，1000枚以太幣通過多次交易被發送到TornadoFinance，至此黑客結束操作。

InverseFinnace表示，目前已暫停了借貸，沒有用戶的資金會被拿走或者面臨風險，此次事件也正在進一步調查當中，等待提供更多的細節。

寫在最后

價格預言機導致價格被操縱是一個常見問題，通過審計，我們可以發現InverseFinance的風險。在此，CertiK的安全專家建議：

1.使用Chainlink作為價格預言機。

2.使用timeweightedaverageprice的價格作為價格預言機。

3.如果上述價格預言機都不可行，借貸平臺應該保障“提供抵押品”和“借款”不在一個Block里面完成,以此來減少被閃電貸攻擊的可能性。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：BTCUSDWBTCUSDTBTCHT幣GUSDT價格wbtc幣的最低價格trustwallet支持usdt嗎

芝麻開門交易所