预言机操纵危机上演?还被黑客盯上两次?——Inverse Finance被攻击事件分析

Beosin
Beosin 机构得得号

Jun 16, 2022 Beosin是总部位于新加坡的全球知名区块链安全公司,为区块链生态提供代码安全审计,安全风险监控、预警与阻断,虚拟资产被盗追回,KYT/AML等“一站式”安全产品+服务,已为全球2000多个区块链企业服务,保护客户资产5000多亿美元。

摘要: Inverse Finance又被攻击了!

2022年6月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,以太坊上的项目Inverse Finance遭受黑客攻击,黑客获利约1068 ETH,约120万美元。

Inverse Finance,经常看我们的安全事件分析文章的读者肯定很熟悉,因为在2022年4月2日,这个项目就曾遭受攻击,当时累计损失估计大约1500万美元。(扩展阅读:DeFi 面临四面楚歌?Inverse Finance被盗取约1500万美元!)

在今天的攻击发生后,Inverse Finance官方发推称,在今天上午发生DOLA被从货币市场Frontier移除的事件后,Inverse已经暂时暂停了借贷业务。成都链安安全团队对此事件进行了分析,现与大家分享。

第一步,攻击者首先借贷了27,000 WBTC,然后将225 WBTC兑换成了245,337 anYvCrv3Crypto (0x1429...f587)。

然后将剩余的26,775 WBTC 在CRV3CRYPTO(0xd51a...ae46)交易池中兑换出75,403,376 USDT。

由于YVCrv3CryptoFeed合约在计算抵押品价格时,使用了balanceOf函数,攻击者通过前面大额兑换将抵押品anYvCrv3Crypto 的价格拉高。

抵押品的价格从991,331,188,257,715,092,062被拉高到2,831,510,989,208,155,228,660。

最终利用价值约$4,898,025的WBTC兑换出了价值约$10,089,106的DOLA。

黑客最终获利约120万美元。当前已有1000 ETH转入Tornado cash。

针对本次事件,成都链安安全团队建议:

获取代币价格时应避免依赖于代币实时余额,而应使用TWAP类型的价格预言机。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 Beosin 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信