2022年4月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,InverseFinance项目遭受攻击,累计损失估计大约1500万美元。成都链安技术团队第一时间对此事件进行了相关分析。
#1分析如下
攻击地址1:
0x117c0391b3483e32aa665b5ecb2cc539669ea7e9
攻击地址2:
Comtech Gold成为首个获得伊斯兰教法合规认证的全金支持数字代币:金色财经报道,在阿拉伯联合酋长国自由区注册的 ComTech FZCO 宣布,其来自 ComTech (CGO) 的黄金支持的加密货币代币已获得伊斯兰教法的合规认证,成为第一个数字货币行业内获得该地区的伊斯兰教法认证的黄金代币化产品。合规认证是根据 Amanie Advisors Ltd 的法律意见 (fatwa) 颁发的,Amanie Advisors Ltd 是伊斯兰教法合规投资和伊斯兰金融解决方案领域的专业和公认实体。(businesswire)[2022/9/27 22:31:36]
0x8b4c1083cd6aef062298e1fa900df9832c8351b3
Cronos Labs推出NFT市场Minted并与Crypto.com达成合作:金色财经报道,由Cronos Labs推出的NFT市场Minted于周四推出,并表示已与交易所巨头Crypto.com建立合作关系。作为其合作伙伴关系的一部分,Minted将促进最初在Crypto.com上出售的基于Cronos的NFT的所有二级交易。该市场允许用户以平台的原生代币$MTD的形式列出他们基于以太坊的NFT以获得奖励。然后可以将$MTD质押一段时间以赚取收益。(theblock)[2022/8/12 12:19:39]
攻击交易hash:
K-pop 经纪公司 Fantagio 与 Crypto.com 签署谅解备忘录,将共同开发 NFT 项目:8月4日消息,韩国娱乐机构 Fantagio 周三宣布与数字资产平台 Crypto.com 签署谅解备忘录(MOU),将共同开展 NFT项目。
在科斯达克上市的 Fantagio 管理着 ASTRO 和 Weki Meki 等 K-pop 偶像团体,以及包括车银优和邕圣佑在内的韩国演员。[2022/8/4 3:55:23]
0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365
0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842
攻击合约:
0xea0c959bbb7476ddd6cd4204bdee82b790aa1562
首先攻击者从Tornado.Cash取出900ETH为拉高INV代币价格做准备。
攻击者使用300个ETH,兑换出374个INV代币,再用200ETH兑换1372个INV代币,累计兑换1746个INV代币,这里可以发现第一个池子用300个ETH只兑换出374个INV,而后面却使用200ETH兑换出1372INV代币,第一个池子WETH/INV中的INV价格已经明显被拉高。
在计算Xinv代币价格时,依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)这个pair去计算。因为pair这个池子已经被操纵了,再加上timeElapsed间隔时间短,那么攻击者需要满足不在当前区块调用,就可以利用操纵的价格,那么就可以操纵xINV代币的价值。
可以看到当攻击操纵了pair之后,就不停的发送mint交易,用于确保自己能够最大化利用时间窗口。同时,攻击者巧妙的避开了操纵价格的区块去mint,不然将会使用操纵价格区块的前面区块去计算价格。
然后攻击者直接把自己持有的1746INV代币全部mint,换取1156个xINV代币,再依靠持有的xINV借出大量代币。
Inversefinance?项目方累计损失估计大约在1500万美元。
在此,成都链安建议项目方使用足够长的时间窗口,例如可以参考以下Uniswap的示例代码,timeElapsed必须大于24小时以上。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。