DeFi 面臨四面楚歌？Inverse Finance被盜取約1500萬美元_EFI

2022年4月2日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，InverseFinance項目遭受攻擊，累計損失估計大約1500萬美元。成都鏈安技術團隊第一時間對此事件進行了相關分析。

1分析如下

攻擊地址1：

0x117c0391b3483e32aa665b5ecb2cc539669ea7e9

攻擊地址2：

0x8b4c1083cd6aef062298e1fa900df9832c8351b3

Aptos生態DeFi協議Thala公布Token發行細節:3月26日消息，據官方消息，Aptos生態DeFi協議Thala公布其治理Token THL的發行細節。THL將于美國東部時間3月31日晚上7點和美國東部時間4月5日晚上7點之間通過LBP池發布。

此次發布將持續五天，THL總量的至多7%（700萬枚）將分配給社區。LBP將與LayerZero Circle（zUSDC）組成交易對，初始權重為98:2（THL/zUSDC），最終權重為30:70（THL/zUSDC）。

此次籌集的所有收益將存至Thala的MomentumSafe多重簽名的國庫地址中。Thala承諾將高達50%的收益用于直接協議運營。這包括核心流動性對的播種流動性、用于支持金庫和現實世界資產的潛在壞賬的保險基金，以及用于確保最大協議安全性的漏洞賞金。其余部分將根據DAO治理的酌情權進行適當預算，以支付貢獻者工資、審計成本、法律費用和其他雜項運營成本。[2023/3/26 13:27:05]

攻擊交易hash:

數據：DeFi協議總鎖倉量達1080.8億美元:金色財經報道，據DefiLlama數據顯示，DeFi協議總鎖倉量（TVL）達到1080.8億美元，24小時跌幅為3.82%。TVL排名前五分別為MakerDAO（95.3億美元）、Curve（88.3億美元）、AAVE（82.9億美元）、Lido（77.7億美元）、Uniswap（57.2億美元）。[2022/6/2 3:58:44]

0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365

觀點：隨著DeFi對比特幣需求爆炸式增加，WBTC將保持強勁增長趨勢:自周日以來，比特幣被標記的數量比礦工實際挖出的比特幣數量多了1043枚，因為基于以太坊的DeFi熱潮沒有減弱的跡象。根據Dune Analytics最新統計數據，以太坊上已經有近31000個比特幣被標記，其中75%是由WBTC鑄造的。在5月中旬新代幣的數量激增之前，以太坊代幣化比特幣供應量一直徘徊在3000以下。比特幣標記化的速度表明，在新興的基于以太坊的DeFi應用網絡中使用比特幣的需求激增。三箭資本聯合創始人Kyle Davies表示：“隨著DeFi對比特幣的需求爆炸式增加，WBTC將繼續保持強勁增長，我預計這一趨勢將持續下去。”（Coindesk）[2020/8/15]

0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842

當前DeFi中鎖定資產總價值達24.42億美元:金色財經報道，據DeBank數據顯示，DeFi中鎖定資產總價值達24.42億美元，Compound以6.86億美元排在首位、Maker鎖定資產總價值6.27億美元、Synthetix鎖定資產總價值為4.31億美元。注：總鎖倉量（TVL）是衡量一個DeFi項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2020/7/9]

攻擊合約：

0xea0c959bbb7476ddd6cd4204bdee82b790aa1562

首先攻擊者從Tornado.Cash取出900ETH為拉高INV代幣價格做準備。

攻擊者使用300個ETH，兌換出374個INV代幣，再用200ETH兌換1372個INV代幣，累計兌換1746個INV代幣，這里可以發現第一個池子用300個ETH只兌換出374個INV，而后面卻使用200ETH兌換出1372INV代幣，第一個池子WETH/INV中的INV價格已經明顯被拉高。

在計算Xinv代幣價格時，依靠WETH/INV(0x328dfd0139e26cb0fef7b0742b49b0fe4325f821)這個pair去計算。因為pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以利用操縱的價格，那么就可以操縱xINV代幣的價值。

可以看到當攻擊操縱了pair之后，就不停的發送mint交易，用于確保自己能夠最大化利用時間窗口。同時，攻擊者巧妙的避開了操縱價格的區塊去mint，不然將會使用操縱價格區塊的前面區塊去計算價格。

然后攻擊者直接把自己持有的1746INV代幣全部mint，換取1156個xINV代幣，再依靠持有的xINV借出大量代幣。

Inversefinance?項目方累計損失估計大約在1500萬美元。

在此，成都鏈安建議項目方使用足夠長的時間窗口，例如可以參考以下Uniswap的示例代碼，timeElapsed必須大于24小時以上。

Tags：INVEFIDEFIDEFLeve InvestCredefidefi幣圈Bearn Defi Protocol

萊特幣價格