DeFi 面临四面楚歌？Inverse Finance被盗取约1500万美元_INV:Clever DeFi

2022年4月2日，成都链安链必应-区块链安全态势感知平台舆情监测显示，InverseFinance项目遭受攻击，累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。

1分析如下

攻击地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻击地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

攻击交易hash:

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

DeFi跨链投资生态系统Aperture完成530万美元融资:2月7日消息，据官方消息，DeFi跨链投资生态系统Aperture完成530万美元种子轮和战略轮融资，由ParaFi Capital、Arrington Capital、Costanoa Ventures和Divergence Ventures领投；其他投资者包括Rarestone Capital、Krypital Group、PrimeBlock Ventures、Athena Ventures、Metaline Ventures、Double Peak、Stakely Venture Capital等。天使投资人包括Terraform Labs创始人兼CEO Do Kwon、Dragonfly Capital合伙人Ashwin Ramachandran、Manta Network联合创始人Victor Ji。[2022/2/7 9:35:49]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

Gate.io DeFi流动性挖矿赚USDG理财明日开启:据官方公告，Gate.io 将于3月5日（明日）中午12:00上线《Gate.io“天天理财”第145期 DeFi流动性挖矿赚USDG理财》，总额度1,000,000 USDG，锁仓期限7天。[2021/3/4 18:15:16]

攻击合约：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。

Paradigm联合创始人：WSB散户无法交易GME股票推进了DeFi交易的普及:Paradigm联合创始人兼管理合伙人MattHuang发布推特称，一些特定的历史事件具有催化作用，可将酝酿已久的想法转化为主流意识。比如2020年3月美联储印制了超过3万亿美元进行量化宽松，促进更加多人投资比特币，2021年1月Twitter永久禁止了唐纳德·特朗普的账户，导致人们开始投身去中心化网络，WSB散户无法游戏驿站(GME)股票，推进了DeFi交易的普及。[2021/2/8 19:11:28]

攻击者使用300个ETH，兑换出374个INV代币，再用200ETH兑换1372个INV代币，累计兑换1746个INV代币，这里可以发现第一个池子用300个ETH只兑换出374个INV，而后面却使用200ETH兑换出1372INV代币，第一个池子WETH/INV中的INV价格已经明显被拉高。

币赢将于7月18日17:00在DEFI专区上线wNXM:据官方消息，币赢CoinW将于2020年7月18日 17:00在DeFi专区上线wNXM/USDT交易对，同时开启买入0手续费和累计充值50枚及以上wNXM赠2枚wNXM双重活动。

据悉，Nexusn Mutual 利用以太坊技术，使人们无需保险公司即可共同承担风险。Nexus Mutual 采用的是风险共担模式，背后有一个风险共担池。[2020/7/18]

在计算Xinv代币价格时，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以利用操纵的价格，那么就可以操纵xINV代币的价值。

可以看到当攻击操纵了pair之后，就不停的发送mint交易，用于确保自己能够最大化利用时间窗口。同时，攻击者巧妙的避开了操纵价格的区块去mint，不然将会使用操纵价格区块的前面区块去计算价格。

然后攻击者直接把自己持有的1746INV代币全部mint，换取1156个xINV代币，再依靠持有的xINV借出大量代币。

Inversefinance?项目方累计损失估计大约在1500万美元。

在此，成都链安建议项目方使用足够长的时间窗口，例如可以参考以下Uniswap的示例代码，timeElapsed必须大于24小时以上。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。