InverseFinance被盗事件：从1450万美元中寻找解决方案

2022年4月2日19时，北京时间CertiK监控安全技术团队InverseFinance遭受了一次恶意攻击，导致资产损失约1450万美元。这次攻击的根本原因是外部价格预测器被操纵，使得攻击者可以通过操纵价格来借用资产。

攻击流程如下： - 攻击者在发起攻击前做了一些准备工作，包括部署恶意合同和确定交易地址。 - 由于SushiSwap: INV（INV-ETH对）流动性较低，攻击者通过用300ETH（价值超过100万美元）的INV增加了INV价格。 - 接着，攻击者正式发起了攻击，铸造了1746枚XINV代币，并通过操纵XINV价格借用了1588枚ETH代币、94枚WBTC代币、3999669枚DOLA代币和39枚YFI代币。

这个攻击涉及的合同漏洞主要是依赖于价格预测器，并且存在30分钟的窗口期。攻击者在准备阶段完成后，只需要15秒就可以成功攻击。由于窗口期时间等于15，预言机合同Keep3rV2Oracle中的函数_update中的"timeElapsed>periodSize"检查被绕过。这意味着最终的累计价格尚未更新，导致在函数_computeAmountOut中的amountOut计算中出现错误。

此外，该漏洞的另一个要素是SushiSwap: INV（INV-ETH对）流动性较低，并且TWAP无法防止这种类型的攻击。攻击者通过牺牲一些资金来操纵价格，即用自己的资金改变价格。

被盗资产总值约为1450万美元后已转移到TornadoCash。

除了以上的细节，还提供了攻击准备阶段和攻击时的交易记录、攻击者的地址以及相关合同的地址。

在最后，CertiK安全专家建议尽量避免使用低流动性池并对项目进行安全审计，以确保预测器模型的正确性。