DEFI:DeFi面臨四面楚歌？Inverse Finance被盜取約1500萬美元

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

#1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

Archblock與Adapt3r合作將美國社區銀行引入DeFi:金色財經報道，無擔保貸款協議TrueFi的核心開發商Archblock正在與另類資產管理公司MJL Capital的子公司Adapt3r合作，將美國監管的社區銀行引入DeFi。

根據Archblock周四的新聞稿，這兩家公司計劃專注于擴大對鏈上信貸產品的訪問并降低傳統金融機構的資本成本。MJL Capital創始人兼首席投資官Marcus Leano表示：“我們的籌備中有許多資產規模從5億美元到50億美元不等且有穩定的放貸款的歷史的銀行。”Archblock的首席投資官Bill Wolf說：“對于可以利用該技術在鏈上有效構建和融資的金融資產的類型和范圍沒有任何限制。”該合作伙伴關系還凸顯了DeFi的加速趨勢，即與老式銀行業務融為一體，并將銀行貸款、抵押貸款和企業信貸等現實世界的資產引入基于區塊鏈的協議。[2022/12/16 21:47:43]

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

Synthetix 創始人：DeFi 治理“非常糟糕”:金色財經報道，Synthetix創始人Kain Warwick在倫敦Token2049的舞臺上就“DeFi：金融的未來”進行了小組討論。“這是 DeFi 領域目前不言而喻的事情，”沃里克說，“我們擁有的治理基礎設施非常糟糕。”沃里克認為，現有 DeFi 治理解決方案的關鍵問題是“我們已經迭代地構建了這些東西來解決我們的特定問題，但它們不是很普遍。”目前的投票系統Snapshot、Compound治理模塊和Synthetix自己的解決方案等工具都很糟糕。現有DeFi治理解決方案解決特定問題，但它們不是很普遍。Synthetix一直在為其v3更新開發重新設計的治理模塊將作為開源工具發布，供其他DeFi行業使用。（decrypt）[2021/10/8 20:12:00]

攻擊交易hash:

CZZ技術社區核心開發者彭松：當前Defi的熱潮可能是假牛市，真正出金的人依然比較少，現在談牛市還為時尚早:8月21日，在以“DeFi-如何抓住大潮中的機遇？”為主題的金色沙龍中，CZZ技術社區核心開發者彭松表示，根據三大交易所的入金數據，可以看到市場主要是資金的轉移，而不是新資金進來。大多數是灰度基金的購買，而不是新的用戶進來，所以這可能是一波假牛。這一波牛市完全是由DEX起來的，而不是Comp起來的。DEX造成了大量的鎖倉，DEX的日交易量幾個月前100萬左右，現在沒過幾個月突破了2億美金，從上百筆到現在十萬筆。這更多是幣圈現有資金的鎖倉，交易所流動性減少造成價格上漲，還沒有太多的新資金進來。要進入一個完全的牛市，必須要大量的公鏈共識和鏈上交易。比如BTC，DOGE等，雖然這是古典幣圈，但是古典幣圈也占了幣圈三分之二的市值。它們要動起來，才能造成牛市，吸引更多的資金進來，而不是現在的假牛。

大家還處于才盈利一點的狀態，現在Defi挖礦是一個假牛現象。這一波的假牛，真正出金的人還是比較少的。現在談牛市還為時尚早，更多人資金也被套在defi挖礦循環里，可能是一個假牛的狀態。[2020/8/21]

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：EFIINVDEFIDEFMEFI價格Invest Like Stakeborg IndexDefi Shopping StakeXDEFI Wallet

XMR