預言機操縱危機上演?還被黑客盯上兩次?Inverse Finance被攻擊事件分析
發表於 2022-06-16 22:40 作者: 區塊鏈情報速遞pro
Inverse Finance又被攻擊了!
2022年6月16日,成都鏈安鏈必應-區塊鏈安全態勢感知平台輿情監測顯示,以太坊上的項目Inverse Finance遭受黑客攻擊,黑客獲利約1068 ETH,約120萬美元。
Inverse Finance,經常看我們的安全事件分析文章的讀者肯定很熟悉,因爲在2022年4月2日,這個項目就曾遭受攻擊,當時累計損失估計大約1500萬美元。
在今天的攻擊發生後,Inverse Finance官方發推稱,在今天上午發生DOLA被從貨幣市場Frontier移除的事件後,Inverse已經暫時暫停了借貸業務。成都鏈安安全團隊對此事件進行了分析,現與大家分享。
第一步,攻擊者首先借貸了27,000 WBTC,然後將225 WBTC兌換成了245,337 anYvCrv3Crypto (0x1429...f587)。
然後將剩余的26,775 WBTC 在CRV3CRYPTO(0xd51a...ae46)交易池中兌換出75,403,376 USDT。
由於YVCrv3CryptoFeed合約在計算抵押品價格時,使用了balanceOf函數,攻擊者通過前面大額兌換將抵押品anYvCrv3Crypto 的價格拉高。
抵押品的價格從991,331,188,257,715,092,062被拉高到2,831,510,989,208,155,228,660。
最終利用價值約$4,898,025的WBTC兌換出了價值約$10,089,106的DOLA。
黑客最終獲利約120萬美元。當前已有1000 ETH轉入Tornado cash。
針對本次事件,成都鏈安安全團隊建議:
獲取代幣價格時應避免依賴於代幣實時余額,而應使用TWAP類型的價格預言機。此外建議項目上线前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
標題:預言機操縱危機上演?還被黑客盯上兩次?Inverse Finance被攻擊事件分析
地址:https://www.coinsdeep.com/article/3687.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。