快訊

慢霧：Inverse Finance遭遇閃電貸攻擊簡析

金色財經 2022-06-16 21:00

據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下： 1.攻擊者先從AAVE閃電貸借出27,000WBTC,然後存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨後攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。 2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由於anYvCrv3Crypto的存款憑證使用的價格計算合約除了採用Chainlink的餵價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時餘額變化進行計算所以在攻擊者進行swap之後anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。 3.借貸完DOLA之後攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之後攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。 4.最後攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。針對該事件，慢霧給出以下防範建議：本次攻擊的原因主要在於使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關於獲取公平LP價格的方法。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

買幣要選交易所！優惠盡在鉅亨買幣
掌握全球財經資訊點我下載APP

‌