創宇區塊鏈：Inverse Finance 慘遭攻擊，驚現巨額損失-ODAILY_加密貨幣

前言

北京時間2022年4月2日晚，InverseFinance借貸協議遭到攻擊，損失約1560萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx1：0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

攻擊tx2：0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

報告：近19萬人從事加密行業工作，其中約55%居住在北美和歐洲:7月10日消息，根據K33 Research發布的報告，截至2023年7月，加密貨幣行業擁有近190,000名員工。與2020年開始的加密貨幣狂熱之前的就業統計數據相比，這一數字顯著增長。2021年加密貨幣的就業人數更高，接近211,000人。

研究人員表示，約三分之一的加密貨幣勞動力在交易所或經紀機構工作。26%的人被雇用于提供與加密貨幣相關的各種金融服務的公司。有6%的人從事NFT領域，而21%的人則為區塊鏈協議、分析和挖礦業務工作。另外13%的員工從事與加密貨幣相關的工作，但不完全適用于其他任何類別。

在西方世界中，加密貨幣工作者的比例過高，約55%的人居住在北美和歐洲。其中美國占加密貨幣勞動力的29%。在亞洲，印度成為加密貨幣行業的領先雇主，擁有該地區20%的勞動力，主要從事開發人員相關的角色。中國仍然是第二大雇主，占亞洲地區的15%。[2023/7/10 10:12:15]

攻擊者1：0x8B4C1083cd6Aef062298E1Fa900df9832c8351b3

Bitpanda將投資1000萬美元創建AI部門:金色財經報道，奧地利加密貨幣公司Bitpanda將投資1000萬美元創建一個專門的AI部門。Bitpanda表示，新部門將提供一套人工智能驅動的產品和投資功能，包括個性化投資理念、自動化投資組合策略和實時市場分析。據悉，推出的首款產品是對話式財富教練，能夠為用戶指導個性化投資策略。[2023/5/16 15:06:11]

攻擊者2：0x117C0391B3483E32AA665b5ecb2Cc539669EA7E9

攻擊合約：0xeA0c959BBb7476DDD6cD4204bDee82b790AA1562

密碼管理平臺LastPass建議主密碼未遵循默認值的用戶更改密碼:金色財經報道，LastPass稱自2018年以來，其要求主密碼至少12個字符，可極大地降低暴力猜測密碼的能力。如果用戶的主密碼不遵循上述默認值，LastPass建議用戶考慮通過更改存儲的網站密碼來最大限度地降低風險。[2022/12/25 22:06:38]

Oracle：0xE8929AFd47064EfD36A7fB51dA3F8C5eb40c4cb4

Keep3rV2Oracle：0x39b1dF026010b5aEA781f90542EE19E900F2Db15

攻擊流程

tx1：

1、Sushiswap兌換，300WETH=>374.38INV

2、Sushiswap兌換，200WETH=>690307.06USDC

3、DOLA3POOL3CRV-f兌換，690307.06USDC=>690203.01DOLA

4、Sushiswap兌換，690203.01DOLA=>1372.05INV

tx2：

1、質押INV作為抵押物

2、借走1588ETH、94WBTC、4MDOLA、39.3YFI

漏洞原理及細節

在第一筆攻擊交易中，攻擊者通過巨額的WETH=>INV兌換，抬高Sushiswap中INV對WETH的價格。

緊接著在15秒后的下一個塊中實施了第二筆攻擊交易，質押INV作為抵押物，由于上一個塊的價格操縱導致預言機對INV的高估值，使得攻擊者得以借走大量ETH、WBTC、DOLA、YFI完成攻擊套利。

實際上該兩筆攻擊交易即是常見的閃電貸操控價格攻擊的拆分，由于預言機采用了TWAP類型，于是將攻擊拆分成兩段，首先通過巨額資金的兌換操縱交易對價格，然后搶先交易保證在下一個塊中第一時間完成套利離場。

總結

本次攻擊事件中雖然InverseFinance采用了相對安全的TWAP類預言機，但在巨額資金和現有的搶先交易技術的基礎上，依然存在攻擊的可能。因此，TWAP類預言機的窗口期時間也需要進行合理的設置。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：加密貨幣INVETHDOLA加密貨幣是什么意思是傳銷InvacioETH2SOCKSDOLAN幣

BNB價格