DeFi 面臨四面楚歌？Inverse Finance被盜取約1500萬美元_INV:EFI

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Inverse Finance 項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

1 分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

Avalanche鏈上DeFi協議總鎖倉量為106.9億美元:金色財經報道，據DefiLlama數據顯示，目前Avalanche鏈上DeFi協議總鎖倉量為106.9億美元，24小時減少1.54%。鎖倉資產排名前五分別為AAVE（31.5億美元）、TraderJoe（15.1億美元）、Curve（12.4億美元）、Benqi（11.5億美元）、Platypus Finance（6.92億美元）。[2022/2/21 10:05:19]

攻擊交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi借貸協議Aave V2鎖倉量突破110億美元 創歷史新高:8月5日消息，據debank數據顯示，DeFi借貸協議Aave V2鎖倉量已突破110億美元，為11,087,692,021美元，創歷史新高。總用戶數也超過5.5萬，24小時合約交互量為9,662，交互用戶數為917。目前，Aave V2借款總量為7,538,371,701美元，也達到歷史最高水平。[2021/8/5 1:35:43]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

OKEx DeFi播報 | DeFi總市值98.5億美元，OKEx平臺ZYRO領漲:據OKEx統計，DeFi項目當前總市值為98.5億美元，總鎖倉量為137.7億美元。行情方面，今日DeFi代幣普漲，OKEx平臺DeFi幣種漲幅前三位分別是ZYRO、MLN、BOT。截至19：00，OKEx平臺熱門DeFi幣種如下。[2020/10/20]

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900 ETH為拉高INV代幣價格做準備。

動態 | DeFi項目鎖倉達11.4億美元 過去一周環降6.98%:據 DAppTotal DeFi數據顯示：截至目前，已統計的 25 個 DeFi 項目共計鎖倉資金達 11.4 億美元，其中 EOSREX鎖倉 4.18 億美元，占比 36.8%，排名第一位；Maker 鎖倉 2.77 億美元，占比 24.4%，排名第二位；排名第三位的是Edgeware 鎖倉 2.11 億美元，占比 18.54%；Compound，Dharma、Bancor、Augur 等其他 DeFi 類應用共占比20.26%。[2019/8/11]

攻擊者使用300個 ETH，兌換出374個INV代幣，再用200 ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200 ETH兌換出1372 INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV (0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊（14506358?）去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746 INV代幣全部mint（這里算是抵押），換取1156個xINV代幣（LP代幣），再依靠持有的xINV借出大量代幣。

Inverse finance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：INVDEFEFIDEFIINVERSE幣DEFLCT幣DOGDEFIDOGDEFI價格

火星幣