前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
在推出测试版后的一周内,World ID注册量增加2倍:金色财经报道,据Worldcoin官方博客,在Worldcoin推出测试版后的一周内,每周全球WorldID验证量增加了100%以上,这表明需求急剧增加。
Worldcoin指出,值得注意的是,WorldID验证率在2023年已经翻了一番。并解释道,从1月到7月,WorldID注册量在不到一半的时间内从100万增加到200万。上周每周WorldID注册量增长了2倍,这表明全球对WorldID作为独立产品的需求持续增长。
此外,与WorldID验证数量增加的同时,WorldApp每周活跃用户数量增加了三倍,每周帐户创建数量增加了十倍多。[2023/8/7 21:28:50]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
美SEC向币安附属公司BAM以及赵长鹏发出临时限制令:6月7日消息,美国证券交易委员会(SEC)对币安及其附属公司 BAM Managemen、BAM Trading 以及币安首席执行官赵长鹏发出临时限制令
文件中美 SEC 还提到禁止币安销毁、更改或隐藏相关记录;称 BAM Trading 在 Binance.US 上的质押计划是一项投资合同,因此属于证券的定义;币安及赵长鹏指导 BAM Trading 在美国的业务运营。文件表示,自法院发布限制令之日 10 天内,每位被告应将投资者在 Binance.US 平台上存放、持有、交易和 / 或应计的所有法定货币和加密资产返还美国,包括 BAM 的质押服务计划。
此前报道,SEC已请求法院批准冻结与Binance.US相关的资产。[2023/6/7 21:20:44]
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
PUBG MOBILE拟和Metacode或将推出一款元宇宙游戏:金色财经报道,PUBG MOBILE拟和Metacode或将推出一款元宇宙游戏,此前也有消息称PUBG可能很快会开发游戏的“元宇宙变体”。据悉,PUBG MOBILE一般指《绝地求生:刺激战场》,是腾讯旗下光子工作室群与韩国蓝洞共同推出的正版绝地求生IP手游。[2023/5/30 11:48:23]
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
WorldMobileToken很高兴地宣布我们与行业领先的去中心化预言机网络Chainlink达成技术合作.
稳定币正在成为加密行业的焦点,而去中心化稳定币则有望夺过这一赛道的权杖,改写稳定币生态多年来严重依赖中心化系统的历史.
NovaBattles是一款基于区块链技术的团队MOBA手游,该公司早在2019年就开始构思区块链游戏的前景,之后在设计、系统和合作伙伴方面进行了两年的试验.
瑞士卢加诺,2022年3月3日–Tether是支持区块链技术的科技公司,驱动着市值最大的稳定币(USD?),今天宣布与充满活力的瑞士城市卢加诺合作.
过去的一周,波场TRON项目进展顺利,为满足波场TRON全球社区爱好者阅读,本周周报共分为14种语言,请您选择阅读.
Jan.2022,Lesley@footprint.networkDataSource:FootprintAnalytics2021年,web3概念被讨论得越来越多.