引言:2022年4月2日,DeFi借貸協議InverseFinance因Keep3rTWAP預言機價格操縱遭受攻擊,累計損失1,475萬美元。
作者|0x6617
案件分析|鏈上天眼團隊
近年來,隨著DeFi市場規模的指數型增長,預言機作為DeFi安全性的重要組成部分,針對它的攻擊已是屢見不鮮,而本次INV的價格被操縱,既不是閃電貸攻擊,與InverseFinance的智能合約或前端代碼也無關,而是TWAP預言機使用的時間窗口太短。
價格操縱的另一面是鏈上套利。DeFi興起后,以太坊等區塊鏈網絡不僅支撐鏈上資產轉賬,還有了如挖礦、借貸、衍生品等智能合約的交互場景,這也使得鏈上可捕獲的價值變多,主要通過套利、清算的MEV提取的價值也在迅速增加,尤其是Flashbots推出可視化MEV產品「MEV-Explorev1」,更是將MEV清晰地呈現在我們眼前。
歐科云鏈鏈上大師:鏈上24h交易量環比上升:金色財經報道,據歐科云鏈鏈上大師鏈上數據顯示,BTC 24h鏈上交易量總計1,222,408.24BTC,前日24h總計452,217.18BTC,環比上升170.31% ;交易筆數總計270,918,前日24h總計208,288,環比上升30.07% ;持幣地址數總計41,302,595,前日24h總計41,257,627,環比上升0.11%;活躍地址數總計972,262,前日24h總計776,719,環比上升25.18% ;新增地址數總計441,213,前日24h總計364,552,環比上升21.03%。
ETH 24h鏈上交易量總計1,149,441.81ETH,前日24h總計935,830.84ETH,環比上升22.83% ;交易筆數總計1,085,155,前日24h總計1,164,183,環比下降6.79% ;持幣地址數總計76,651,630,前日24h總計76,585,471,環比上升0.09% ;活躍地址數總計536,053,前日24h總計592,146,環比下降9.47% ;新增地址數總計97,404,前日24h總計96,472,環比上升0.97% 。[2022/3/1 13:29:36]
由于存在鏈上套利機器人不間歇的搬磚行為,如果攻擊者操縱預言機,又不是借助閃電貸在一個區塊內完成的話,防止MEV-bots搶跑就成了攻擊者需要考慮的問題。
港股收盤:歐科云鏈收漲2.88%,火幣科技收跌0.85%:今日港股收盤,恒生指數收盤報26016.17點,收漲1.18%;歐科集團旗下歐科云鏈(01499.HK)報0.143港元,收漲2.88%;火幣科技(01611.HK)報3.510港元,收跌0.85%。[2020/11/9 12:05:37]
2022年1月26日,有黑客使用了與InverseFinance攻擊者類似手法,攻擊了借貸平臺Rari的IndexCoopPool,但卻上演了一幕「黑吃黑」,黑客的攻擊被MEV-bots「截胡」,最終虧損68ETH離場。
雖然InverseFinance此次事件的攻擊者預先準備了241個批量地址,每個地址打入1.5ETH,但并不是為了發動DDOS攻擊阻截其他人在監測到INV價格異常波動后的套利行為,而是為了保證他的攻擊交易能被打包進下一個區塊。
歐科云鏈OKLink同ChainUP SaaS平臺達成戰略合作:據官方消息,歐科云鏈OKLink同ChainUP SaaS平臺達成戰略合作,雙方將在技術與生態層面展開深入合作。ChainUP SaaS平臺以云交易系統解決方案為核心,面向全球提供低成本、輕量級的一站式交易系統服務。幫助初創交易所、項目方、流量主實現零基礎,快速搭建數字資產交易所。目前ChainUP已為全球500多家企業提供了區塊鏈技術服務,其中交易所超300家。
歐科云鏈OKLink是區塊鏈大數據上市公司打造的區塊鏈信息服務網站,旨在利用區塊鏈+大數據技術為用戶提供高可用的區塊鏈信息服務。[2020/4/26]
如果有MEV-bots套利,則他的后續攻擊有可能跟IndexCoopPool的攻擊者一樣,面臨賠了夫人又折兵的局面。
歐科云鏈上漲1.46% 火幣科技上漲1.82%:金色財經報道,截至目前,香港恒生指數上漲54.11點,漲幅0.18%,報23310.33點,歐科集團旗下歐科云鏈(01499.HK)報0.208點,上漲1.46%;火幣科技(01611.HK)報3.360點,上漲1.82%,雄岸科技(01647.HK)報0.243點,上漲3.85%。[2020/3/18]
InverseFinance被盜過程全解析
InverseFinance是一套無需許可的去中心化金融工具,由運行在以太坊區塊鏈上的去中心化自治組織InverseDAO管理。InverseFinance的主要產品是Anchor和DOLA。
港股開盤:歐科云鏈平盤,火幣科技下跌2.25%:金色財經報道,港股開盤,香港恒生指數開盤下跌52.20點,跌幅0.20%,報26077.73點;歐科集團旗下歐科云鏈(01499.HK)報0.235點,開盤平盤;火幣科技(01611.HK)報3.91點,下跌2.25%。[2020/3/2]
Anchor是一種貨幣市場和合成資產協議,可實現資本高效的借貸。DOLA是一種跟蹤1美元價格的鏈上資產。DOLA可以用Anchor上的其他資產作為抵押來鑄造,也可以自己作為抵押借入Anchor上的其他資產。INV具有附加功能,可用作錨定中的抵押資產。
經歐科云鏈鏈上天眼分析,本次攻擊的關鍵在于,價格預言機雖然取了TWAP價格,但時間窗口較短,僅是相鄰兩個數值,由此使得操縱TWAP預言機成為可能。
另外SushiSwap:INV的流動性非常低,僅用300ETH換取INV,即可大幅拉升INV價格,這也使得攻擊者以1,746INV作為抵押品,在InverseFinance借出1,475萬美元的資產,而后在INV價格被修正后,攻擊者的INV抵押品被清算。
相關地址&交易列表:
攻擊者地址1:
0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
攻擊者地址2:
0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻擊合約:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
準備批量賬號交易:
0x561e94c8040c82f8ec717a03e49923385ff6c9e11da641fbc518ac318e588984
兌換INV交易,交易塊高「14506358」:
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
利用漏洞實施攻擊,交易塊高「14506359」
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
預言機合約:
0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻擊流程:
1)攻擊者從TornadoCash中提取了901ETH,準備批量賬號——通過Disperse分別向241個干凈的賬號發送1.5ETH作為手續費,交易哈希「0x561e」。
相似手法,卻遇「黑吃黑」
2022年1月26日有黑客以類似的手法攻擊了借貸平臺Rari的IndexCoopPool,但結果卻是攻擊失敗。
攻擊者首先買入285ETH的BED,希望大幅抬高BEP價格影響UniswapV3TWAP預言機,再抵押提前準備的BED借出其他資產。
安全,是DeFi生態繁榮發展的保證
預言機作為DeFi生態重要的基礎設施,其安全性是DeFi生態繁榮發展的保證,鏈上天眼認為,安全審計應審查預言機的價格算法、經濟模型等。
項目方在設計借貸池的時候,抵押借貸的經濟模型,不僅要關注價格,還要關注流動性,流動性差會導致相應的鏈上資產價格易被操縱。在上線前應加強對預言機的針對性測試,上線后也需對預言機進行定期的安全檢查。
Tags:INVMEVETHINV價格INV幣MEV價格MEV幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意
任意消息橋接器是Web3基礎架構的關鍵部分,是互操作性、模塊化或可組合性的基石。 根據我們與開發人員交談、與用戶互動的經驗,「跨鏈橋」一詞似乎已成為「代幣橋」的同義詞——意味著流動性網絡或可信賴.
1900/1/1 0:00:00價格波動 隨著加密貨幣市場的交易量和波動性繼續下跌,BTC和ETH回吐了周一的部分收益。CoinDesk市場指數是衡量一籃子加密貨幣表現的廣泛市場指數,相對持平,下跌1.64%.
1900/1/1 0:00:00年關將至,網紅徐可是時候宣告她的失敗了。據非小號數據顯示,10月14日,ONOT的24小時成交額只有0.98美元,此后ONOT的24小時成交量一直在低位徘徊,而自12月4日ONOT被首發交易所K.
1900/1/1 0:00:00元治理是指協議A持有協議B的治理代幣,并使用這些代幣對協議B的提案進行投票。值得一提的是,我們并沒有一個標準的元治理方式;一個DAO將采用最適合其運營和目標的特殊元治理機制和策略.
1900/1/1 0:00:00W3ME承辦的“2023香港Web3嘉年華”將于4月12日在香港會議展覽中心5樓隆重開啟!活動期間,主會場四天所有議程將在官網直播!本次嘉年華設置一個主會場加四個分會場.
1900/1/1 0:00:00作者丨萊道君 來源丨萊道區塊鏈 據PlusToken宣傳資料顯示,PlusToken錢包目前已經席卷全球近170個國家,主要是中、日、韓、德國、新加坡、英國、越南、俄羅斯以及緬甸等.
1900/1/1 0:00:00