買以太坊 買以太坊
Ctrl+D 買以太坊
ads

BTC:禍不單行,Inverse Finance再遇閃電貸攻擊-ODAILY_USDT

Author:

Time:1900/1/1 0:00:00

北京時間2022年6月16日,CertiK審計團隊監測到InverseFinance遭受閃電貸攻擊,導致了約1068.215ETH的損失。

這是近2個多月內,InverseFinance第二次遭遇閃電貸攻擊。在此前于2022年4月2日發生的那起閃電貸攻擊中,黑客成功獲利約1450萬美元。

目前1000枚ETH已被發送到TornadoCash,黑客的錢包內還余7.5萬美元。

攻擊步驟

①攻擊者從AAVE閃電貸出了27,000枚WBTC代幣。

基于AI的加密公司Giza完成300萬美元Pre-Seed輪融資:7月11日消息,基于AI的加密項目Giza完成300萬美元Pre-Seed輪融資,CoinFund領投,StarkWare、TA Ventures和Arrington Capital參投。Giza首席執行官Fran Algaba拒絕就其公司的隱含估值發表評論。隨著新的資金注入,Giza預計會在下周發布基礎設施并在2023年內全面啟動平臺。[2023/7/11 10:48:43]

②WBTC作為流動性被添加到CurvePool中。

③獲得的LP代幣被存入Yearn的Vault。

Uniswap社區發起將V3部署至Fantom提案的溫度檢查投票:5月25日消息,Snapshot投票頁面顯示,Uniswap社區正對將Uniswap V3部署至Fantom提案進行溫度檢查投票,目前支持率為100%,投票將于5月31日結束。

該提案旨在使用跨鏈互操作性協議Axelar將Uniswap部署在Fantom鏈上,這一戰略舉措將利用當前的市場機會并加強Uniswap在DeFi領域的地位。鏈上投票完成后,Axelar將負責 Fantom上的Uniswap V3智能合約部署,而Uniswap Labs負責前端集成。這估計需要大約4-6周的審核時間。[2023/5/25 10:39:33]

④Yearn的Vault代幣作為InverstFinance的抵押品,被存入InverseFinance的Yearn3CryptoVault。

Voyager Digital獲破產法院批準,可向34名關鍵員工支付160萬美元獎金:8月25日消息,加密貨幣借貸平臺Voyager Digital獲得破產法院批準,可向被認為對未來至關重要的員工支付160萬美元的關鍵獎金。根據統計,這筆支出將發放給34名Voyager員工,他們都不是高管,包含在會計和IT基礎設施等領域工作的員工,相當于每位員工年薪的22.5%。(彭博社)[2022/8/25 12:46:43]

⑤然后,惡意的智能合約使用初始閃貸中剩余的26,775枚WBTC,在Curve3Crypto上換取7500萬USDT。(WETH-USDT-WBTC)

說唱歌手 Kanye West 提交 NFT 相關商標申請:金色財經報道,美國商標律師 Josh Gerben 表示,知名說唱歌手侃爺( Kanye West )最近提交了 17 份商標申請,圍繞他的個人品牌 Yeezus 申請商標專利,這些文件暗示侃爺有意推出 YEEZUS 品牌的虛擬游樂園、基于區塊鏈的NFT、以數字藝術為特色的在線零售店服務、玩具等等。

這位說唱歌手曾于 2 月 1 日在 Instagram 上發布了一封手寫信,聲稱他對 NFT 項目不感興趣,他寫道:“我的重點是在現實世界中制造真正的產品、真正的食物、真正的衣服、真正的住所”,該帖子隨后被刪除。[2022/6/2 3:57:33]

⑥由于上述步驟操縱了價格預言機,因此抵押品的價格被拉高。隨后,攻擊者利用價格優勢借到價值1000萬美元的美元穩定幣。

⑦7500萬美元的USDT被26,626WBTC換回。

⑧攻擊者的智能合約,用借來的DOLA向DOLA-3Pool的CurveMetapool提供流動性。

⑨之后流動性被移除,黑客換取了約1010萬的USDT,這步驟的目的是把攻擊所得的DOLA換成USDT。

⑩最終黑客使用Curve上的3CryptoPool將1000萬USDT轉換為451WBTC。剩余的99,976.294美元被保存在攻擊者的智能合約中。

?償還AAVE上的閃電貸。

漏洞分析

被攻擊的合約使用YVCrv3CryptoFeed作為InverseFinanceDOLA借貸池的價格預言機。YVCrv3CryptoFeed價格預言機返回的價格會根據CurveUSDT-WBTC-WETH池中不同代幣的余額來決定Yearn的Vault代幣價格,因此可被攻擊者操縱。

資產去向

攻擊者在合約上留下了53.244枚WBTC和99,997.294枚USDT,并在他們的合約上調用了`withdrawERC20()`函數,隨后將其撤回。WBTC被換成了983.290枚以太幣,USDT被換成了84.925枚以太幣,總計1068.215枚以太幣。隨后,1000枚以太幣通過多次交易被發送到TornadoFinance,至此黑客結束操作。

InverseFinnace表示,目前已暫停了借貸,沒有用戶的資金會被拿走或者面臨風險,此次事件也正在進一步調查當中,等待提供更多的細節。

寫在最后

價格預言機導致價格被操縱是一個常見問題,通過審計,我們可以發現InverseFinance的風險。在此,CertiK的安全專家建議:

1.使用Chainlink作為價格預言機。

2.使用timeweightedaverageprice的價格作為價格預言機。

3.如果上述價格預言機都不可行,借貸平臺應該保障“提供抵押品”和“借款”不在一個Block里面完成,以此來減少被閃電貸攻擊的可能性。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:BTCSDTUSDUSDTbtcp幣行情USDT幣提現微信USD幣Compound USDT

酷幣下載
ETH:JZL Capital區塊鏈行業周報第24期:美國通脹爆表,入場時機未到-ODAILY_ENT

本周摘要 -CPI指數來到8.6%后,市場暴跌,經濟衰退要來了嗎?-Celsius和stETH的影響下ETH繼續下跌,它會成為下一個Terra和UST嗎? 一、上周行業動態 本周市場在周五跳水.

1900/1/1 0:00:00
HER:Tether項目周報(0613-0619)-ODAILY_ETH

Tether:譴責近期有關其商業票據的虛假謠言6月15日消息,USDT母公司Tether表示,譴責有關其商業票據的虛假謠言,有傳言稱其商業票據組合中85%由中國或亞洲商業票據支持.

1900/1/1 0:00:00
POLY:Polygon上3款最受歡迎的GameFi游戲-ODAILY_Knight War The Holy Trio

Apr.2022,VincyDataSource:FootprintAnalytics-PolygonProtocolsDataEthereum在GameFi生態中的項目數增長速度不及BSC和P.

1900/1/1 0:00:00
DOT:波卡生態中“中繼鏈”、“DOT”的常見問題解答-ODAILY_CROSS

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
TET:Tether項目周報 (0516-0522)-ODAILY_tether幣行情

Tether需要在本月進行資本重組;Tether削減商業票據,提振USDT背后的國債;在其穩定幣短暫失去與美元1:1掛鉤的一周后,Tether的2022年第一季度保證報告顯示.

1900/1/1 0:00:00
BTC:Foresight Ventures市場周報:市場押注ETH合并,接著奏樂接著舞-ODAILY_ETH

市場觀點 宏觀流動性 貨幣流動性整體緊縮。本周三公布的美國7月CPI數據8.5%好于預期的8.7%,較前值的9.1%大幅回落,預示著美國通脹峰值或許已經過去.

1900/1/1 0:00:00
ads