前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
Tether CTO:比特币是有史以来最自由的货币传输工具:5月14日消息,Bitfinex和Tether首席技术官Paolo Ardoino近日接受CoinTelegraph Italia采访时表示,比特币创造的金融世界不仅限于区块链上的交易,比特币是有史以来最自由的货币传输工具。比特币是一个完美的系统:它是去中心化的、不可阻挡的和安全的。[2023/5/14 15:02:19]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
比特币网络NFT协议Ordinals的“铭文”正消耗一半比特币区块空间:2月7日消息,比特币矿企Riot Platforms研究副总裁Pierre Rochard发推称,比特币网络NFT协议Ordinal的Inscriptions(铭文)正在消耗50%的比特币区块空间,区块空间利用率为100%,费率中位数下降。
据悉,软件工程师Casey Rodarmor推出基于比特币的NFT协议Ordinals,Satoshi是比特币网络的原子性原生货币,Ordinals协议可以将任意内容刻在单个Satoshi上,创造出可以保存在比特币钱包里并通过比特币交易转移的独特比特币原生数字艺术品。Inscriptions刻有任意内容,创造了比特币原生的数字人工制品,通常被称为NFT。Inscriptions不需要侧链或单独的Token。
据此前报道,昨日比特币日平均区块大小达到2,021,079.56,创3年来新高。[2023/2/7 11:51:57]
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
数据:最近一周,以太坊网络新增197万枚NFT资产:金色财经报道,NFTScan数据显示,最近一周,以太坊网络新增197.97万枚NFT资产,平均每天新增铸造28.28万枚NFT资产。[2022/8/21 12:37:58]
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
TetherCTO:Tether仍将保持最常用稳定币的地位金色财经消息,根据ArcaneResearch的一份报告,第二大稳定币USDC在过去一年中一直以惊人的速度增长.
1900/1/1 0:00:00尽管2022年春节前后,加密市场行情似乎不尽人意,但随着大盘行情的企稳,不少链游项目诸如Gala游戏平台,Axie等元宇宙游戏已率先反弹,其中Axie的子币SLP更是实现多日的连续上涨.
1900/1/1 0:00:00一、前言开门见山,以太坊数据同步是以节点作为数据载体存放和传输主要以Header,Body,Reciept组成的数据主体,通过以太坊p2p通信协议管理数据同步事务.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品背景在国内“五四青年节”的当天,波卡顺利完成了v0.9.19版本的升级,而此次升级备受关注的当属完成了通过XCM进行平行链间消息传递的功能.
1900/1/1 0:00:00章鱼网络创始人Louis,分享了他对链游经济系统的思考:重点1:链游的游戏经济范式发生了转变,从封闭的专卖式的经济变成真正的开放市场.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00