DeFi 面臨四面楚歌？Inverse Finance被盜取約1500萬美元_INV

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Inverse Finance 項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

1 分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

DeFi挑戰指數今日為1.488‰，挑戰評級2級:金色財經報道，據同伴客數據顯示，06月01日DeFi挑戰指數為1.488‰，較上一周上漲0.119‰，挑戰評級為2級。

注：挑戰指數是DeFi市場的鎖倉量與華爾街前五大資管機構AUM的比值，用以反映DeFi生態與傳統市場的相對體量。[2021/6/1 23:01:42]

攻擊交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

火幣DeFi實驗室高潮：火幣Global將第一時間推出HFIL:在10月15日火幣尖峰對話——《SWFT與HBTC擦出新火花》主題活動中，火幣DeFi實驗室運營負責人高潮表示，火幣重點上線的H系列資產，都是以太坊ERC20的資產，核心是為了繁榮以太坊生態，促進以太坊DeFi的發展，尤其是今天上線的Filecoin代幣FIL，火幣Global將第一時間支持HFIL，為FIL礦工提供更廣闊的場景。此外，高潮表示，未來火幣還將陸續上線HFIL，HBSV，HLTC，HEOS，HXPR等8個資產。

高潮還介紹道，目前H系列資產已經在進入了DeFi行業的不同賽道，覆蓋了預言機、借貸、交易、流動性挖礦等場景，并且H系列資產使用起來更加便捷，可以直接在火幣Global中完成充值和提幣，而且手續費低于WBTC等。[2020/10/15]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

火幣DeFi挖礦專區第二期產品將于9月19日12:00上線:據火幣最新消息，火幣將于9月19日12:00(GMT+8)上線DeFi挖礦專區第二期產品，用戶可質押USDT、BTC、ETH享DeFi流動性挖礦獎勵。平臺將每天按照實際收益給鎖倉用戶空投獎勵，管理費為收益部分的20%，用戶無需再承擔鏈上操作產生的gas費用。?

挖礦獎勵按實際收益物進行發放（如CRV)，具體獎勵將根據實際情況波動。[2020/9/18]

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE:據官方消息，幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE/USDT交易對，開啟“充值送STAKE,-0.1%Maker費率\"活動；據悉，xDai Chain是一個由MakerDAO基金會與POA Network聯合推出的美元穩定幣區塊鏈，也是一個與以太坊兼容的側鏈，其使用穩定幣xDai（由以太坊上的去中心化穩定幣Dai在側鏈上按照1:1比例兌換而來）作為基礎代幣用于交易和支付gas費用，并通過STAKE代幣，借助獨特的權益證明算法—POSDAO來進行記賬和治理。[2020/8/12]

首先攻擊者從Tornado.Cash取出900 ETH為拉高INV代幣價格做準備。

攻擊者使用300個 ETH，兌換出374個INV代幣，再用200 ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200 ETH兌換出1372 INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV (0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊（14506358?）去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746 INV代幣全部mint（這里算是抵押），換取1156個xINV代幣（LP代幣），再依靠持有的xINV借出大量代幣。

Inverse finance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：INVDEFIEFIDEFInvestroAIDeFiHorse99DEFI幣DefiCliq

BNB