ETH:創宇區塊鏈：Inverse Finance 慘遭攻擊，驚現巨額損失

前言

北京時間2022年4月2日晚，InverseFinance借貸協議遭到攻擊，損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx1：0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

攻擊tx2：0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

報告：目前有130個經濟體正在探索CBDC:金色財經報道，CoinGecko在社交媒體X（原推特）上發布關于CBDC的研究報告。報告顯示，雖然目前有130個經濟體正在探索CBDC，但迄今為止只有3個經濟體全面推出了數字貨幣，9個經濟體處于試點階段。

其中，巴哈馬、牙買加和尼日利亞是首批全面推出CBDC的國家，其貨幣分別于2020年、2021年和2022年推出。世界上第一個CBDC是巴哈馬的SandDollar，于2020年10月推出。烏拉圭是第一個在2017年進行大規模CBDC試點的國家，而中國是第一個在2014年開始研究CBDC的G20國家。然而，兩國迄今為止仍處于CBDC開發的試點階段。

其他積極試點CBDC的主要經濟體包括韓國、日本和加拿大。韓國央行計劃在2023年公開測試CBDC，而加拿大的ProjectJasper最近與新加坡的ProjectUbin合作探索跨境測試。

與此同時，美國、歐盟和英國仍在研究和權衡各自的選擇。美國于2022年底完成了漢密爾頓項目的研究工作，但沒有跡象表明即將進行試點，而歐盟的數字歐元項目仍處于早期調查階段。[2023/8/28 13:01:23]

攻擊者1：0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

日本加密貨幣交易商Hibiki Trader已確認從FTX Japan提出全部資金:金色財經報道，FTX Japan此前于2月21日恢復提款，允許用戶將資金轉移到Liquid Japan賬戶，目前日本加密貨幣交易商Hibiki Trader已成功提取了所有資金，該交易所在社交媒體上確認了此事并表達了對FTXJP的感謝。[2023/2/27 12:30:58]

攻擊者2：0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

韓國檢方在調查Terra事件中已結束對加密交易所扣押搜查，將對扣押材料進行全面分析:7月28日消息，韓國首爾南區檢察院金融證券犯罪聯合調查組于本月20日至27日完成了對部分交易所的搜查扣押令的執行。檢方官員解釋說：“調查所需的交易所數據的取證工作花費了很長時間。”通過此次扣押搜查，檢察機關獲得了Terraform Labs首席執行官Do Kwon以及Terraform Labs聯合創始人、TMON聯合創始人Daniel Shin等人的交易明細和算法穩定幣的開發過程、資金流向相關的資料。在完成搜查和扣押后，檢方開始對扣押的材料進行全面分析，相關人士的傳喚仍在繼續。

此前消息，韓國檢方發出Do Kwon“入境時通報”通知并勒令Terraform高管禁止出境，檢方也正討論與國際刑警組織合作發布紅色通緝令以引渡Do Kwon的可能性。(韓聯社)[2022/7/28 2:42:45]

攻擊合約：0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562

Oracle：0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4

Keep3rV2Oracle：0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻擊流程

tx1：

1、Sushiswap兌換，300WETH=>374.38INV

2、Sushiswap兌換，200WETH=>690307.06USDC

3、DOLA3POOL3CRV-f兌換，690307.06USDC=>690203.01DOLA

4、Sushiswap兌換，690203.01DOLA=>1372.05INV

tx2：

1、質押INV作為抵押物

2、借走1588ETH、94WBTC、4MDOLA、39.3YFI

漏洞原理及細節

在第一筆攻擊交易中，攻擊者通過巨額的WETH=>INV兌換，抬高Sushiswap中INV對WETH的價格。

緊接著在15秒后的下一個塊中實施了第二筆攻擊交易，質押INV作為抵押物，由于上一個塊的價格操縱導致預言機對INV的高估值，使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。

實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分，由于預言機采用了TWAP類型，于是將攻擊拆分成兩段，首先通過巨額資金的兌換操縱交易對價格，然后搶先交易保證在下一個塊中第一時間完成套利離場。

總結

本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機，但在巨額資金和現有的搶先交易技術的基礎上，依然存在攻擊的可能。因此，TWAP類預言機的窗口期時間也需要進行合理的設置。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：BDCCBDINVETHbdc幣最新消息CBDAOINVI幣ethical僻義

萊特幣價格