THE:Inverse Finance被盜1450萬美元事件分析-ODAILY

北京時間2022年4月2日19時，CertiK安全技術團隊監測到InverseFinance被惡意利用，導致價值約1450萬美元的資產受到損失。

該事件發生的根本原因在于外部價格預言機依賴導致價格被操縱，因此攻擊者可通過操縱價格來借用資產。

攻擊流程

在發起攻擊之前，攻擊者做了如下準備:

1.首先，攻擊者部署了一個惡意合約。該合約地址為：0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

2.其次，攻擊者在SushiSwap/Curve.fi中進行調換，以操縱交易中的價格，該交易地址為：0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

Ark Invest首席未來學家：加密資產可能會出現上漲趨勢:1月24日消息，Ark Invest首席未來學家Brett Winton表示，隨著人工智能的進步加速，并促進多個經濟領域的技術融合，加密資產可能會出現上漲趨勢。他在2023年展望視頻中表示，“公鏈、加密貨幣和加密資產目前正在經歷一段坎坷時期，但在一個充裕的時代，它們的稀缺性將變得更加差異化。在風險投資和公共市場空間內擴張和實現價值的機會比兩年前更大。”（The Block）[2023/1/24 11:28:00]

由于SushiSwap:INV的流動性非常低，用300ETH換取INV將大幅增加INV價格。

隨后，攻擊者正式發起攻擊:

1.攻擊者把在準備階段獲得的INV存入，并鑄造了1746枚XINV代幣。

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

2.XINV的價格計算：根據SushiSwap:INV對中的INV價格所計算。如上所述，INV的價格被操縱，因此每XINV的價值為20926美元。

Invesco India Mutual Fund向印度證監會提交投資區塊鏈基金文件:9月8日消息，基金管理巨頭Invesco Mutual Fund已向印度證券交易委員會提交文件以投資于Invesco Elwood Global Blockchain Exchange Traded Fund， 該基金的投資領域包括發達和新興市場的區塊鏈上市公司。（economictimes）[2021/9/8 23:08:13]

3.隨著XINV的價格被修改，攻擊者能夠用鑄造的XINV代幣借用到如下資產：1588枚ETH，94枚WBTC，3999669枚DOLA與39枚YFI。

合約漏洞分析

該漏洞主要原因是對價格預言機具有依賴性，并且這中間有30分鐘的窗口期。而攻擊在準備階段完成后正式發生，僅僅用了15秒。

Galaxy Investment風險投資部門投資虛擬房地產開發商Republic Realm:Galaxy Investment旗下風險投資部門Galaxy Interactive董事總經理表示，該公司已成為虛擬房地產開發商Republic Realm的主要投資者。Republic Realm 購買虛擬房地產、加密資產或NFT，其所有權狀態和真實性已通過區塊鏈驗證。Republic Realm并未透露Galaxy Interactive的投資規模。（路透社）[2021/6/30 0:17:48]

在這種情況下，因為timeElapsed==15，預言機合約Keep3rV2Oracle的函數_update()中'timeElapsed>periodSize'的檢查將被繞過。這意味著最后的累積價格還沒有被更新。由此可見，函數_computeAmountOut()中的amoutOut會比預期的數額大，因為priceCumulative已經被操縱了，但_observation.priceCumulative沒有被更新。

Ark Invest報告：以太坊屢創新高有三大原因:投資管理公司Ark Invest近期發布了發布了一份研究報告，強調了以太坊價格屢創新高的三個原因。該公司指出，機構興趣的增加、強大的鏈上信號和即將到來的協議升級是其價格上漲的關鍵原因。（Bitcoin.com）[2021/5/10 21:45:01]

一方面，XINV的價格依賴于SushiSwap:INV對的儲備，其流動性非常低。

另一方面，TWAP可以防止閃電貸攻擊。理論上，攻擊者能夠通過"犧牲"一些錢來操縱價格，也就是說，用他自己的錢來改變價格。在這個特殊的價格預言機設計中，如果經過的時間沒有超過30分鐘，當前的價格不應該被用來計算出金金額。

資產追蹤

據CertiKSkyTrace顯示，價值約1450萬美元的資產被盜后已被轉移到TornadoCash。

其他細節

利用漏洞進行交易的準備期間:

https://etherscan.io/tx/0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

利用漏洞進行交易發起攻擊:

https://etherscan.io/tx/0x600373f6752132https://etherscan.io/tx/0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊者地址1:https://etherscan.io/address/0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊者地址2:

https://etherscan.io/address/0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻擊合約:

https://etherscan.io/address/0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

預言機合約:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

SushiSwapINV-ETHPair:

https://etherscan.io/address/0x328dfd0139e26cb0fef7b0742b49b0fe4325f821

XINV合約地址:https://etherscan.io/address/0x1637e4e9941d55703a7a5e7807d6ada3f7dcd61b#code

Keep3rV2預言機合約地址:

https://etherscan.io/address/0x39b1df026010b5aea781f90542ee19e900f2db15#code

寫在最后

現如今，很多項目都會用到預言機，部分項目還會對其具有很強的依賴性。安全審計，會審查預言機的設計合理性、價格算法以及經濟模型等。

因此，CertiK的安全專家建議：盡量避免使用流動性低的池子作為價格預言機價格來源，同時對項目進行安全審計從而保證預言機模型的正確性。

Tags：INVETHINVETHELeve Investtogetherbnb游戲哪里恐怖呀Golden Regent Investmenttogetherbnb房東模擬器

火幣交易所