INV:DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元_DEF

作者：

时间：1900/1/1 0:00:00

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi聚合器Frontier推出FrontierV2公开测试版:11月1日消息，DeFi聚合器Frontier推出FrontierV2公开测试版，支持Android和iOS用户进行测试。iOS用户需下载TestFlight进行测试，Android用户需在应用商店的Frontier应用页面加入测试版。Frontier此前于推特上展示了V2版本的部分功能，包括地址跟踪、支持NFT、质押及借贷等。[2021/11/1 6:25:01]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

第二季度锁定在DeFi中的ETH数量下降了11.5%:锁定在 DeFi 应用程序中的 ETH 数量在第二季度下降了 11.5%。值得注意的是，第二季度 DeFi 应用程序中锁定的所有加密资产的总价值保持稳定，这表明其他加密资产（如稳定币或用于 DeFi 抵押品和流动性的治理代币）有所增加。（CoinDesk）[2021/7/7 0:34:13]

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

旅行应用Maps.me融资5000万美元用于整合DeFi协议:1月18日消息，知名旅行和地图应用程序Maps.me宣布已于种子轮筹集5000万美元资金，用于将DeFi协议整合到其平台中。据悉，该轮融资由Alameda Research 领投，加密风投 CMS Holdings 、Genesis Capital，以及 Sino Global Capital 等机构参与投资。SBF表示，通过一款日常应用可以真正推动DeFi的主流应用。（Cointelegraph）[2021/1/18 16:25:06]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

MakerDAO创始人：DeFi想要取得成功必须超越加密泡沫:MakerDAO创始人Rune Christensen在CoinDesk直播中表示，要想让DeFi取得成功，它必须超越加密泡沫。“与我们接下来要做的事情相比，我们对这项技术的作用还只是略知皮毛。”

与他一起参加现场直播对话的还有Uniswap创始人Hayden Adams和Compound创始人Robert Leshner。Adams表示，“我们正在走向一个大规模代币化的世界，所有有价值的东西都将被代币化。目前看来，以太坊至少在其代币化方面处于领先地位。”

Leshner表示，DeFi有潜力改变不透明、昂贵和缓慢的传统金融体系。“在传统金融中，最好的东西是你知道的那些东西，它们是有用的，但并不那么令人兴奋。你能提供1亿美元的资产并立即开始赚取利息吗？或者，你能立即借入1亿美元的资产，并注意到整个系统都正常运作吗？”（CoinDesk）[2020/7/30]

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。