前言
北京时间2022年4月2日晚,InverseFinance借贷协议遭到攻击,损失约1560万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
元宇宙初创公司Forma Vision完成战略轮融资,埃森哲旗下风投Accenture Ventures参投:1月27日消息,据NFT Gators报道,元宇宙初创公司Forma Vision已完成一笔战略轮融资,埃森哲旗下风投Accenture Ventures参投,但具体投资金额暂未公开披露。
据悉,用户可借助FormaVision创建元宇宙中人物、物体和环境的全息图像,其实时流媒体服务使人们能够像在现实生活中一样在沉浸式3D空间中会面和工作。埃森哲曾于去年推出旗舰元宇宙产品“Metaverse Continuum”平台,该笔最新战略投资旨在帮助埃森哲加速拓展企业元宇宙业务。[2023/1/27 11:32:40]
攻击者1:0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3
花花公子即将推出 MetaMansion 虚拟世界:金色财经报道,花花公子MetaMansion即将推出。花花公子的 Web3 负责人 Liz Suman上周在 NFT Paris表示,虚拟世界定于今年推出,即使对于不属于该杂志品牌 Rabbitar 社区的用户,也将有办法进入。
该项目与 Animoca Brands 的 The Sandbox 合作,于去年夏天宣布。2021 年,该集团推出了第一个 NFT 系列,利用了其跨越数十年的摄影和艺术品档案。[2023/2/27 12:32:40]
攻击者2:0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9
三体宇宙控股股东将发生变更,与游族网络“脱钩:金色财经消息,2月6日,记者获悉,《三体》内容开发及商业衍生的独家版权方三体宇宙文化发展有限公司将有重大股权变更,已成立新公司计划收购三体宇宙股权,目标是吸引更多优质投资人共建三体IP。
一位接近三体宇宙人士透露,2022年已成立成都司元企业管理公司,将收购现有三体宇宙公司股权并成为公司大股东,预计持股比例将达到70%。三体宇宙内部管理层和公司架构不会随之发生变化。据记者了解,在成都司元对三体宇宙的收购完成后,三体宇宙股东中将不再有游族关联公司。(澎湃)[2023/2/7 11:51:28]
攻击合约:0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562
Oracle:0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4
Keep3rV2Oracle:0x39b1dF026010b5aEA781f90542EE19E900F2Db15
攻击流程
tx1:
1、Sushiswap兑换,300WETH=>374.38INV
2、Sushiswap兑换,200WETH=>690307.06USDC
3、DOLA3POOL3CRV-f兑换,690307.06USDC=>690203.01DOLA
4、Sushiswap兑换,690203.01DOLA=>1372.05INV
tx2:
1、质押INV作为抵押物
2、借走1588ETH、94WBTC、4MDOLA、39.3YFI
漏洞原理及细节
在第一笔攻击交易中,攻击者通过巨额的WETH=>INV兑换,抬高Sushiswap中INV对WETH的价格。
紧接着在15秒后的下一个块中实施了第二笔攻击交易,质押INV作为抵押物,由于上一个块的价格操纵导致预言机对INV的高估值,使得攻击者得以借走大量ETH、WBTC、DOLA、YFI完成攻击套利。
实际上该两笔攻击交易即是常见的闪电贷操控价格攻击的拆分,由于预言机采用了TWAP类型,于是将攻击拆分成两段,首先通过巨额资金的兑换操纵交易对价格,然后抢先交易保证在下一个块中第一时间完成套利离场。
总结
本次攻击事件中虽然InverseFinance采用了相对安全的TWAP类预言机,但在巨额资金和现有的抢先交易技术的基础上,依然存在攻击的可能。因此,TWAP类预言机的窗口期时间也需要进行合理的设置。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
亲爱的BitVito用户:为庆祝BitVito社群人数突破16,000,BitVito?正式开启《四月专属活动,空投8888U》.
据区块链浏览器TRONSCAN数据,过去二十三周,TRX连续处于通缩状态,通缩量达3.09亿枚TRX.
關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
随着我们平行链的上线,我想分享有关Centrifuge未来功能和CFG实用性的关键主题和想法。过去几个月对我们的工程师来说非常忙碌,因为我们一直在为平行链的上线做准备,在以太坊上发展Tinlak.
1111 一、前言 ‘全球通’是基于omega链首创的发明专利技术--通证多样化表达、零售级交易效率、明示合意智能合约等,集成了AMM、RMB通证交易、电商等系统.
原文标题:《实用|Token经济分析框架》原文作者:Ren&Heinrich原文编译:阿法兔,阿法兔研究笔记如何研究加密世界里的Token?*本文3500字左右.