北京时间2022年6月16日,CertiK审计团队监测到InverseFinance遭受闪电贷攻击,导致了约1068.215ETH的损失。
这是近2个多月内,InverseFinance第二次遭遇闪电贷攻击。在此前于2022年4月2日发生的那起闪电贷攻击中,黑客成功获利约1450万美元。
目前1000枚ETH已被发送到TornadoCash,黑客的钱包内还余7.5万美元。
攻击步骤
①攻击者从AAVE闪电贷出了27,000枚WBTC代币。
区块链基础设施提供商Bware Labs将于5月30日推出INFRA代币:5月28日消息,MN Trading CEO兼创始人Micha?l van de Poppe发推称,其投资的加密货币之一INFRA将于下周(5月30日)上线。据其介绍,INFRA背后团队Bware Labs是面向Web 3.0构建者的一站式解决方案提供商,此前已推出一个名为Blast的去中心化API平台,支持多链。
此前3月消息,区块链基础设施提供商Bware Labs宣布推出其区块链API平台的主网Blast。据介绍,使用Blast,开发人员可以通过几个简单的步骤让RPC、REST和WebSocket访问区块链网络。[2023/5/28 9:47:26]
②WBTC作为流动性被添加到CurvePool中。
欧盟官员:欧盟议会的智能合约计划限制了统一标准制定:3月15日消息,欧盟内部市场专员Thierry Breton周二告诉记者,欧盟有争议的规定要求对某些智能合约设置“终止开关”,这可能会限制为该行业设定标准的关键能力。
他的言论暗示,议员们当天早些时候投票通过的条款不再符合2022年委员会法律提案“数据法案”(Data Act)中设定的目标。
Breton称:“我们需要协调这些智能合约的基本要求,以确保互操作性、法律确定性和大规模部署,当提出这个提案时,我们打算要求相关组织制定这些标准。”
“我注意到议会提议修改这些基本要求,”他说,“值得注意的是,这些变化可能会限制制定智能合约统一标准的可能性。”(CoinDesk)[2023/3/15 13:05:25]
③获得的LP代币被存入Yearn的Vault。
俄罗斯和古巴在制裁中研究用加密货币作为替代方案:金色财经报道,克里姆林宫顾问在哈瓦那宣布,俄罗斯和古巴都面临制裁,正在研究跨境支付的替代方案,包括加密货币。莫斯科已经在开发一种加密结算机制,以规避因入侵乌克兰而施加的金融限制。[2022/11/18 13:22:35]
④Yearn的Vault代币作为InverstFinance的抵押品,被存入InverseFinance的Yearn3CryptoVault。
⑤然后,恶意的智能合约使用初始闪贷中剩余的26,775枚WBTC,在Curve3Crypto上换取7500万USDT。(WETH-USDT-WBTC)
外汇资深人士Jonathan Cumberlidge加入加密银行初创公司BVNK:7月12日消息,外汇和差价合约行业资深人士Jonathan Cumberlidge已加入银行和加密货币服务提供商BVNK担任外汇销售总监。根据Linkedin的最近更新,他将在英国工作。
BVNK总部位于伦敦,正在开发加密银行服务。该公司目前没有任何银行牌照,但通过与其他受监管公司合作提供服务。据悉,BVNK将支付、交易、托管和收益整合到一个账户中。(Finance Magnates)[2022/7/12 2:07:52]
⑥由于上述步骤操纵了价格预言机,因此抵押品的价格被拉高。随后,攻击者利用价格优势借到价值1000万美元的美元稳定币。
⑦7500万美元的USDT被26,626WBTC换回。
⑧攻击者的智能合约,用借来的DOLA向DOLA-3Pool的CurveMetapool提供流动性。
⑨之后流动性被移除,黑客换取了约1010万的USDT,这步骤的目的是把攻击所得的DOLA换成USDT。
⑩最终黑客使用Curve上的3CryptoPool将1000万USDT转换为451WBTC。剩余的99,976.294美元被保存在攻击者的智能合约中。
?偿还AAVE上的闪电贷。
漏洞分析
被攻击的合约使用YVCrv3CryptoFeed作为InverseFinanceDOLA借贷池的价格预言机。YVCrv3CryptoFeed价格预言机返回的价格会根据CurveUSDT-WBTC-WETH池中不同代币的余额来决定Yearn的Vault代币价格,因此可被攻击者操纵。
资产去向
攻击者在合约上留下了53.244枚WBTC和99,997.294枚USDT,并在他们的合约上调用了`withdrawERC20()`函数,随后将其撤回。WBTC被换成了983.290枚以太币,USDT被换成了84.925枚以太币,总计1068.215枚以太币。随后,1000枚以太币通过多次交易被发送到TornadoFinance,至此黑客结束操作。
InverseFinnace表示,目前已暂停了借贷,没有用户的资金会被拿走或者面临风险,此次事件也正在进一步调查当中,等待提供更多的细节。
写在最后
价格预言机导致价格被操纵是一个常见问题,通过审计,我们可以发现InverseFinance的风险。在此,CertiK的安全专家建议:
1.使用Chainlink作为价格预言机。
2.使用timeweightedaverageprice的价格作为价格预言机。
3.如果上述价格预言机都不可行,借贷平台应该保障“提供抵押品”和“借款”不在一个Block里面完成,以此来减少被闪电贷攻击的可能性。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
新加坡当地时间5月24日,全球领先的数字资产和加密货币基础设施平台Fireblocks宣布,旗下专注机构业务的数字资产平台正式新增对TRX和波场链上所有TRC20代币的支持.
北京时间8月2日,成都链安链必应-区块链安全态势感知平台舆情监测显示,跨链通讯协议Nomad遭遇攻击,黑客获利约1.5亿美元.
正如整个以太坊社区众所周知的那样,很长一段时间以来,参与以太坊共识和执行层的团队一直在研究实际上被认为是以太坊网络的下一阶段:从证明过渡到基于计算能力的共识机制;权益证明机制.
经过9天共计12场比赛的奋力拼搏,2022东亚杯EAFFE-1Championship在27日正式落下帷幕,此次东亚杯赛事共有来自中国、韩国、日本、中国香港、中国的男、女足球运动员参赛.
随着市场高杠杆逐步出清,加之美联储加息节奏放缓,市场情绪相对乐观,多重因素助推下,加密市场在8月迎来一波上涨行情:加密货币集体反弹,BTC价格更是自6月初以来首次升破25000美元.
原文作者:supraoracles原文编译:Tan.Z|H.ForestVentures原文标题:《WhatistheCryptoFearandGreedIndex?》 推荐理由: 加密货币贪婪.