INV:DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元_DEFI

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，Inverse Finance 项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1 分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

Brooker Group计划再投入300万美元用于DeFi投资:5月21日消息，泰国上市金融咨询公司Brooker Group今日发布公告表示，公司当前持有约3500万美元的数字资产和DeFi代币，仍然看好加密货币，计划将在2021年第二季度再分配300万美元用于DeFi投资。（Forkast）[2021/5/21 22:29:02]

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi风险管理平台Saffron完成超200万美元融资:DeFi风险管理平台Saffron完成超200万美元融资，投资机构包括Dragonfly Capital和Coinbase Ventures。（Decrypt）[2021/3/8 18:26:28]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

IPFS+DeFi项目云存储聚合器获丘比特基金会战略投资:据官方消息，IPFS+DeFi项目云存储聚合器获丘比特基金会战略投资。丘比特基金战略投资围绕IPFS生态打造的云存储聚合器CSA，利用丘比特矿业（Cupid Mining）生态系统及生态网络快速推动分布式云存储的应用与发展。

CSA云存储聚合器囊括去中心化借贷、保险、NFT、预言机、DEX（CSASwap）等多个板块，是一体化聚合型平台。结合丘比特矿业的基础生态建设，CSA将以云算力的方式布局DeFi生态。[2020/11/9 12:04:21]

首先攻击者从Tornado.Cash取出900 ETH为拉高INV代币价格做准备。

币赢已于7月18日14:00在DEFI专区上线RPE:据官方消息，币赢已于7月18日14:00在DEFI专区上线RPE，并开通RPE/USDT交易对；据悉，Augur是一个去中心化的预测市场平台，基于以太坊区块链技术。用户可以用数字货币进行预测和下注，依靠群众的智慧来预判事件的发展结果，可以有效地消除对手方风险和服务器的中心化风险，同时采用加密货币（如比特币）创建出一个全球性的市场。[2020/7/18]

攻击者使用300个 ETH，兑换出374个INV代币，再用200 ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200 ETH兑换出1372 INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

在计算Xinv代币价格时，依靠WETH/INV (0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块（14506358?）去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746 INV代币全部mint（这里算是抵押），换取1156个xINV代币（LP代币），再依靠持有的xINV借出大量代币。

Inverse finance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

标签：INVEFIDEFIDEFINVEPlenty DeFiPyrrho DeFiDEF价格

加密货币热门资讯