前言
北京時間2022年4月2日晚,InverseFinance借貸協議遭到攻擊,損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
攻擊tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻擊tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
WBTC流通量降至2021年5月以來最低水平:金色財經報道,根據Dune數據,在2月27日出現第二大單日銷毀后,Wrapped Bitcoin(WBTC)的供應量降至2021年5月以來最低水平,目前為164,396個WBTC,月增長率為-7.39%。
此前消息,Celsius地址向機構數字資產管理平臺FalconX轉移約1.1萬枚WBTC(約合2.6億美元),并贖回銷毀WBTC。[2023/2/28 12:34:19]
攻擊者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
瑞典央行官員:各國政府可能會限制外國人進入其CBDC:金色財經報道,瑞典央行Sveriges Riksbank第一副行長 Cecilia Skingsley表示,央行數字貨幣 (CBDC) 不會成為解決所有跨境支付問題的“靈丹妙藥”。國家不一定會相互“玩得很好”,這使得互操作性或CBDC與其他支付系統交互的方式變得復雜和分層。我們必須考慮不同級別的互操作性,對于每個想要參與其中的人來說,就治理和監督等達成一致將是非常困難的。
如果外國支付服務提供商能夠訪問世界各地的CBDC,這將是一個更高效、更開放的系統。但一些國家可能會發現這樣做“風險太大”。我認為各國也會有不同的選擇和不同程度的障礙,所以不會有一種準入模式將適用于所有人。[2022/6/29 1:37:32]
攻擊者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
“Bitcoin dead”谷歌搜索量創下自2018年2月以來新高:金色財經消息,近期“Bitcoin dead”谷歌搜索量激增,創下自2018年2月以來新高。[2022/6/23 1:27:20]
攻擊合約:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻擊流程
tx1:
1、Sushiswap兌換,300WETH=>374.38INV
2、Sushiswap兌換,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兌換,690307.06USDC=>690203.01DOLA
4、Sushiswap兌換,690203.01DOLA=>1372.05INV
tx2:
1、質押INV作為抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及細節
在第一筆攻擊交易中,攻擊者通過巨額的WETH=>INV兌換,抬高Sushiswap中INV對WETH的價格。
緊接著在15秒后的下一個塊中實施了第二筆攻擊交易,質押INV作為抵押物,由于上一個塊的價格操縱導致預言機對INV的高估值,使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。
實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分,由于預言機采用了TWAP類型,于是將攻擊拆分成兩段,首先通過巨額資金的兌換操縱交易對價格,然后搶先交易保證在下一個塊中第一時間完成套利離場。
總結
本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機,但在巨額資金和現有的搶先交易技術的基礎上,依然存在攻擊的可能。因此,TWAP類預言機的窗口期時間也需要進行合理的設置。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:INVBTCWBTCWBTInverse Bitcoin Volatility Index Tokenobtc幣挖礦MWBTC價格MWBTC
“近日圈內FOMO情緒高漲的新算法穩定幣項目Nirvana創建了一種新型的AMM機制,解決了算法穩定幣在流動性上的問題,同時被其反復套娃機制,有龐氏的影子.
1900/1/1 0:00:00概要 民主與DAO之間的關系?這個話題在上周關于反侵占的對話中冒了出來,當時一位社區成員問道:“DAO是否可以看作是民主最先進的實例”.
1900/1/1 0:00:002022年1月13日互聯網飛艇即將來到桑給巴爾,WorldMobile能否在谷歌失敗的地方取得成功? 跨鏈基礎設施Celer Network推出全鏈流動性協議Peti:10月31日消息.
1900/1/1 0:00:00ConsenSys的首席執行官JoeLubin在最近的Ethereal演講中提到了NFT技術的潛在影響,并稱NFT技術是可以重塑行業的“深刻發明”.
1900/1/1 0:00:002022年1月31日,WorldMobile“除夕不眠夜”活動已完美結束,共抽取四名幸運粉絲,目前空投已全部發放完畢.
1900/1/1 0:00:00背景 不知不覺距離波卡首次插槽拍賣已經過去了快4個月,而上個月底,波卡理事會通過了Motion158的決議,安排了今年剩余時間的平行鏈拍賣時間.
1900/1/1 0:00:00