Inverse Finance今天被榨干了,因为一个攻击者在通过Tornado Cash.
洗涤之前带走了1500万美元的加密货币。
本周末,Peckshield透露,Inverse Finance是DeFi漏洞的最新受害者,导致超过1500万美元的损失。这家区块链安全公司发布了一条推文,简单地说,”嗨,@InverseFinance,你可能想看看,”链接到Etherscan.
上的一笔交易。
通过龙卷风现金清洗加密货币
在过去的几个小时里,剥削者向Tornado Cash发送了数百笔以太坊交易。Tornado Cash是黑客和利用者中的一个标准工具,试图混淆他们的交易历史。他们把自己的服务描述为 “通过打破源地址和目的地址之间的链上联系来改善交易隐私。它使用一个智能合约,接受不同地址可以提取的ETH存款”。
用户生成一个随机密钥,并将ETH与票据一起存入。然后,用户从另一个钱包提供纸币的密钥证明,以提取ETH,从而打破了 “只有拥有纸币的用户才能链接存款和提款 “的交易链。
该漏洞涉及一个TWAP神谕,需要操纵流动性低的DeFi项目的治理代币的价格。TWAP是时间加权平均价格的缩写,”通过读取一个ERC20代币对在所需区间的开始和结束时的累积价格来构建。然后,这个累积价格的差异可以除以时间间隔的长度,以创建该期间的TWAP”。通过Chainlink社区大使ChainLinkGod.
创建的一个线程,可以获得关于该漏洞的详细解释。
又是一天,另一个TWAP神谕的操纵
注意事项。
1. TWAP的时间样本太短了
2. DEX的流动性明显比CEX的流动性弱
3. 攻击者消除了链上的套利机会
4. CEX-DEX套利没有发生
5. 全市场的价格没有像DEX定价那样受到影响 https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
The Inverse Finance Response
逆向金融今天晚上在Twitter Spaces上发表了关于漏洞事件的讲话。在其中,他们解释了所有的决定如何通过DAO的链上治理。因此提出了一个问题,即这是否允许在这样的危机中进行快速的决策。该团队在推特空间中显得非常冷静和镇定,非常实事求是地描述了神谕操纵。他们指责 “套利效率低下”,因为剥削者用50万美元的抵押品在几分钟内偷走了1500万美元。
DAO现在已经激活了Anchor上的Guardian规则,以防止未来通过漏洞期间使用的协议进行借贷。这是为了 “减轻未来任何同类的攻击”。然后他们解释了他们的 “挂钩保护 “是如何让他们快速恢复市场挂钩和激励机制的,他们在漏洞发生后使用了这些机制。推特空间又持续了30分钟,解释了逆向金融的其他功能,呼吁恢复对项目的信心。
漏洞不是黑客。
这里需要注意的是,负责这一行动的人并不是黑客,正如一些人可能报道的那样。目前,许多文章问:”如果DeFi如此伟大,为什么它不断被黑客攻击?” 答案是,大多数漏洞不是黑客。在最近这次事件中,没有任何代码或安全权限被破解。相反,一个人利用了开发人员的疏忽。
DeFi涉及许多活动部件,这些部件的历史还不到五年。这类项目的兴奋度很高,投资者愿意将资金存入未经证实的项目,希望享受超额收益。
逆向金融的治理代币INV,通常日均成交量约为90万美元,市值为3100万美元。今天的交易量因该漏洞而上升了5000%,目前该项目TVL据说约为2700万美元。这些数字对于加密货币世界来说似乎很低,但实际上,对于全世界大多数人来说,是改变生活的金额。执行该漏洞需要50万美元,这导致 “攻击者 “的收入增加了2900%。
通过龙卷风现金洗钱,支持DeFi的所有交易都可追踪的论点变得更弱。我认为唯一的办法是跟踪资金。剥削者以100、10和1的面额发送ETH。因此,在这种情况下,追踪它需要追踪在可预见的未来从龙卷风现金中提取的每一笔金额。这是一项不可行的任务。即使这可以实现,他们也没有做任何违法的事情。违反使用条款?很有可能。有问题的道德?当然,但是,正如我们所知,DeFi监管是一个不断发展的领域,这一事件的发生是由于有人在公共区块链上进行完全合法的交易。
DeFi是一项正在进行的工作。它强调了在web3开发中对更好的实践和更多测试的日益增长的需求。我们希望公众的信心不会被几乎每天都有的关于DeFi漏洞的报道所破坏。
