北京时间2022年6月16日,CertiK审计团队监测到InverseFinance遭受闪电贷攻击,导致了约1068.215ETH的损失。
这是近2个多月内,InverseFinance第二次遭遇闪电贷攻击。在此前于2022年4月2日发生的那起闪电贷攻击中,黑客成功获利约1450万美元。
目前1000枚ETH已被发送到TornadoCash,黑客的钱包内还余7.5万美元。
攻击步骤
①攻击者从AAVE闪电贷出了27,000枚WBTC代币。
②WBTC作为流动性被添加到CurvePool中。
美国娱乐公司Animal Concerts推出NFT系列“A Hard Working Man”:11月3日消息,美国娱乐公司Animal Concerts宣布将在新的Minted Launchpad平台上推出NFT系列“A Hard Working Man”。该NFT系列以嘻哈明星SnoopDogg、乡村音乐偶像BillyRay Cyrus和AvilaBrothers等音乐界标志性人物为主角打造。
据悉,Minted Launchpad允许用户铸造、购买和交易以太坊和Cronos区块链中原有NFT。(Cointelegraph)[2022/11/3 12:13:47]
③获得的LP代币被存入Yearn的Vault。
Cere即将上线 预计在2021 Q1启动Alpha主网:据官方消息,Cere近期将会公布公募信息、大使计划,预计在2021 Q1启动Alpha主网。cere即将上线,少数不法分子盯上了cere,官方在此提醒广大社区爱好者:所谓的0.009U私募价格,上线33%释放等都是虚假信息,具体确切的信息请关注官方电报群。
Cere是Polkadot上的去中心化数据云平台,致力于用户数据安全并服务于多家大型企业。
Cere的投资方包括Binance Labs、Arrington CRP Capital、NGC Ventures 和分布式资本等。Cere目前正在为媒体,旅游,零售行业的《财富》1000强公司开发商业项目,帮助企业们提升用户体验并进行数位化转型。[2020/12/30 16:04:22]
④Yearn的Vault代币作为InverstFinance的抵押品,被存入InverseFinance的Yearn3CryptoVault。
Pantera Capital和Alameda Research对DeFi协议Balancer进行投资:DeFi协议Balancer(BAL)宣布加密货币投资机构Pantera Capital和Alameda Research通过直接从Balancer Labs中购买BAL代币对Balancer进行了投资,新资金将帮助加快Balancer v2的开发。目前,Balancer未披露投资金额。Balancer表示,Balancer v2将显著改善交易成本、简化开发人员集成和用户体验。[2020/11/10 12:09:48]
⑤然后,恶意的智能合约使用初始闪贷中剩余的26,775枚WBTC,在Curve3Crypto上换取7500万USDT。(WETH-USDT-WBTC)
⑥由于上述步骤操纵了价格预言机,因此抵押品的价格被拉高。随后,攻击者利用价格优势借到价值1000万美元的美元稳定币。
⑦7500万美元的USDT被26,626WBTC换回。
⑧攻击者的智能合约,用借来的DOLA向DOLA-3Pool的CurveMetapool提供流动性。
⑨之后流动性被移除,黑客换取了约1010万的USDT,这步骤的目的是把攻击所得的DOLA换成USDT。
⑩最终黑客使用Curve上的3CryptoPool将1000万USDT转换为451WBTC。剩余的99,976.294美元被保存在攻击者的智能合约中。
?偿还AAVE上的闪电贷。
漏洞分析
被攻击的合约使用YVCrv3CryptoFeed作为InverseFinanceDOLA借贷池的价格预言机。YVCrv3CryptoFeed价格预言机返回的价格会根据CurveUSDT-WBTC-WETH池中不同代币的余额来决定Yearn的Vault代币价格,因此可被攻击者操纵。
资产去向
攻击者在合约上留下了53.244枚WBTC和99,997.294枚USDT,并在他们的合约上调用了`withdrawERC20()`函数,随后将其撤回。WBTC被换成了983.290枚以太币,USDT被换成了84.925枚以太币,总计1068.215枚以太币。随后,1000枚以太币通过多次交易被发送到TornadoFinance,至此黑客结束操作。
InverseFinnace表示,目前已暂停了借贷,没有用户的资金会被拿走或者面临风险,此次事件也正在进一步调查当中,等待提供更多的细节。
写在最后
价格预言机导致价格被操纵是一个常见问题,通过审计,我们可以发现InverseFinance的风险。在此,CertiK的安全专家建议:
1.使用Chainlink作为价格预言机。
2.使用timeweightedaverageprice的价格作为价格预言机。
3.如果上述价格预言机都不可行,借贷平台应该保障“提供抵押品”和“借款”不在一个Block里面完成,以此来减少被闪电贷攻击的可能性。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
来源:金色财经
????北京时间6月11日20:13,MetaF.DAO服务决策平台治理通证FD正式上线PancakeSwap。上线首日,FD最高涨幅突破1195%,一举登顶PancakeSwap当日热搜币种.
加息75个基点,鲍威尔讲话加息75个基点将不会成为常态,随后币价在当走出了一波上涨行情,让大家以为低位行情后市会持续上涨的误导,但是之际上加息75个基点已经成为事实重大利空消息面.
晚上做梦做到自己抄底做多,直接被吓出了一身冷汗,然后想起来自己已经不玩了,觉得又失落又庆幸。”6月19日,比特币的暴跌行情下,一名币圈用户向北京商报记者打趣道.
首先,我们想简单谈谈NBOX:NBOX,意为盒子的N次方,是一个无限可能的盒子,赋予其聚合和连接属性,包括人群的聚合,人与区块链的连接,人与游戏的交互,区块链与游戏的结合.
如同春播秋收的自然规律,历经多轮牛熊的币圈也遵循着“熊市播种,牛市收获”的定律。回望本轮牛市的热门板块,几乎都历经熊市的洗礼:DeFi在2019年崭露头角,沉寂一年后才在2020年夏天收获狂暴牛.
项目简介 StarryNift于5月初完成千万美元Pre-A轮融资,由SIG海纳亚洲创投基金领投,BinanceLabs、BSCFund、AlamedaResearch、GBV等机构跟投.
链资讯