ETH:DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元_staking ETH

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

DeFi基准利率连日在3.25%上下波动:金色财经报道，据同伴客数据显示，06月02日DeFi去中心化金融基准利率为3.28%，较前一日上涨0.03%。同期美国国债抵押回购率（Repo Rate）为0.01%，二者利率差为3.27%。

DeFi基准利率代表了DeFi融资难易程度，利率越高说明融资成本越高，利率越低说明融资成本越低。其与Repo Rate的利率差则便于DeFi与传统市场作进行同类比较。[2021/6/2 23:04:44]

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

基于Solana的DeFi期权抵押平台Zeta将集成Pyth预言机:据官方消息，基于Solana的DeFi期权抵押平台Zeta宣布将集成Pyth Network价格预言机。通过使用Pyth，Zeta可以访问链上的高频价格数据，以构建快速的链上期权定价和清算引擎。[2021/5/31 22:58:26]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

福布斯专栏作者：DeFi或推动政府采用CBDC:福布斯专栏作者Luke Fitzpatrick今日刊文称，DeFi可能会推动政府采用CBDC。文章表示，DeFi通过将权力从中央实体转移到个人，使全球金融自由化。由于不同的原因，其吸引力吸引了不同的受众。DeFi在财政上也有利，因为各国政府一直无法对非主权法币执行有效的税务程序。[2020/10/7]

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

数据：DeFi用户总数自6月1日以来增加超23％:金色财经报道，加密数据网站Dune Analytics数据显示，自6月1日以来，DeFi协议的用户总数增加了23％以上。其中Balancer增长速度最快，其用户群增幅超580％，新增7000多名用户。[2020/7/8]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint，换取1156个xINV代币，再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

标签：EFIETHPICBKXFIFTYONEFIFTYstaking ETHepic币价格BKX价格

TUSD热门资讯