LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > 预言机操纵危机上演?还被黑客盯上两次?InverseFinance被攻击事件分析

预言机操纵危机上演?还被黑客盯上两次?InverseFinance被攻击事件分析

2022-06-16 成都链安 来源:区块链网络

Inverse Finance又被攻击了!

2022年6月16日,成都链安链必应-区块链安全态势感知平台舆情监测显示,以太坊上的项目Inverse Finance遭受黑客攻击,黑客获利约1068 ETH,约120万美元。

Inverse Finance,经常看我们的安全事件分析文章的读者肯定很熟悉,因为在2022年4月2日,这个项目就曾遭受攻击,当时累计损失估计大约1500万美元。

在今天的攻击发生后,Inverse Finance官方发推称,在今天上午发生DOLA被从货币市场Frontier移除的事件后,Inverse已经暂时暂停了借贷业务。成都链安安全团队对此事件进行了分析,现与大家分享。

第一步,攻击者首先借贷了27,000 WBTC,然后将225 WBTC兑换成了245,337 anYvCrv3Crypto (0x1429...f587)。

然后将剩余的26,775 WBTC 在CRV3CRYPTO(0xd51a...ae46)交易池中兑换出75,403,376 USDT。

由于YVCrv3CryptoFeed合约在计算抵押品价格时,使用了balanceOf函数,攻击者通过前面大额兑换将抵押品anYvCrv3Crypto 的价格拉高。

抵押品的价格从991,331,188,257,715,092,062被拉高到2,831,510,989,208,155,228,660。

最终利用价值约$4,898,025的WBTC兑换出了价值约$10,089,106的DOLA。

黑客最终获利约120万美元。当前已有1000 ETH转入Tornado cash。

针对本次事件,成都链安安全团队建议:

获取代币价格时应避免依赖于代币实时余额,而应使用TWAP类型的价格预言机。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

查看更多

—-

编译者/作者:成都链安

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...