okx

InverseFinance被盗事件:从1450万美元中寻找解决方案

时间:2023-06-30|浏览:181

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

2022年4月2日19时,北京时间CertiK监控安全技术团队InverseFinance遭受了一次恶意攻击,导致资产损失约1450万美元。这次攻击的根本原因是外部价格预测器被操纵,使得攻击者可以通过操纵价格来借用资产。

攻击流程如下: - 攻击者在发起攻击前做了一些准备工作,包括部署恶意合同和确定交易地址。 - 由于SushiSwap: INV(INV-ETH对)流动性较低,攻击者通过用300ETH(价值超过100万美元)的INV增加了INV价格。 - 接着,攻击者正式发起了攻击,铸造了1746枚XINV代币,并通过操纵XINV价格借用了1588枚ETH代币、94枚WBTC代币、3999669枚DOLA代币和39枚YFI代币。

这个攻击涉及的合同漏洞主要是依赖于价格预测器,并且存在30分钟的窗口期。攻击者在准备阶段完成后,只需要15秒就可以成功攻击。由于窗口期时间等于15,预言机合同Keep3rV2Oracle中的函数_update中的"timeElapsed>periodSize"检查被绕过。这意味着最终的累计价格尚未更新,导致在函数_computeAmountOut中的amountOut计算中出现错误。

此外,该漏洞的另一个要素是SushiSwap: INV(INV-ETH对)流动性较低,并且TWAP无法防止这种类型的攻击。攻击者通过牺牲一些资金来操纵价格,即用自己的资金改变价格。

被盗资产总值约为1450万美元后已转移到TornadoCash。

除了以上的细节,还提供了攻击准备阶段和攻击时的交易记录、攻击者的地址以及相关合同的地址。

在最后,CertiK安全专家建议尽量避免使用低流动性池并对项目进行安全审计,以确保预测器模型的正确性。

« 上一条| 下一条 »
区块链交流群
数藏交流群
区块链币圈-全球区块链数字货币行情、比特币虚拟货币资讯,狗狗币以太坊环保币柚子币莱特币瑞波币等加密数字货币价格非交易行情查询,金色财经巴比特范非小号快讯平台。
趣开心资讯 Qukaixin.cn ©2020-2024版权所有 桂ICP备19010284号-1