mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

预言机操纵危机上演?还被黑客盯上两次?Inverse Finance被攻击事件分析

收藏
分享

Inverse Finance又被攻击了!

2022年6月16日, 成都链安链必应-区块链安全态势感知平台 舆情监测显示, 以太坊 上的项目 Inverse Finance 遭受黑客攻击,黑客获利约1068 ETH ,约120万美元。

Inverse Finance,经常看我们的安全事件分析文章的读者肯定很熟悉,因为在2022年4月2日,这个项目就曾遭受攻击,当时累计损失估计大约1500万美元。

在今天的攻击发生后,Inverse Finance官方发推称,在今天上午发生DOLA被从货币市场Frontier移除的事件后,Inverse已经暂时暂停了借贷业务。成都链安安全团队对此事件进行了分析,现与大家分享。

第一步,攻击者首先借贷了27,000 W BTC ,然后将225 WBTC兑换成了245,337 anYvCrv3Crypto (0x1429...f587)。

然后将剩余的26,775 WBTC在 CRV 3CRYPTO(0xd51a...ae46)交易池中兑换出75,403,376 USDT。

由于YVCrv3CryptoFeed合约在计算抵押品价格时,使用了balanceOf函数,攻击者通过前面大额兑换将抵押品anYvCrv3Crypto 的价格拉高。

抵押品的价格从991,331,188,257,715,092,062被拉高到2,831,510,989,208,155,228,660。

最终利用价值约$4,898,025的WBTC兑换出了价值约$10,089,106的DOLA。

黑客最终获利约120万美元。当前已有1000 ETH转入Tornado cash。

针对本次事件,成都链安安全团队建议:

获取代币价格时应避免依赖于代币实时余额,而应使用TWAP类型的价格预言机。 此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。