慢雾：Inverse Finance遭遇闪电贷攻击简析

据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。

慢雾：Inverse Finance遭遇闪电贷攻击简析本文于9/19/2022 10:43:39 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢慢雾：Inverse Finance遭遇闪电贷攻击简析,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯：

慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息，Badger DAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。据慢雾MistTrack分析，截止目前黑客已将获利的加密货币换成 renBTC，并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。

慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址本文于9/15/2022 10:13:39 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[12/2/2021 10:13:41 PM]

分析 | 慢雾：攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析，从DragonEx公布的“攻击者地址”的分析来看，20 个币种都被盗取（但还有一些DragonEx可交易的知名币种并没被公布），从链上行为来看攻击这些币种的攻击手法并不完全相同，攻击持续的时间至少有1天，但能造成这种大面积盗取结果的，至少可以推论出：攻击者拿下了DragonEx尽可能多的权限，更多细节请留意后续披露。[3/26/2019 12:00:00 AM]

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[3/10/2019 12:00:00 AM]

相关资讯