DeFi 项目 Indexed Finance 因黑客攻击损失 1600 万美元

一名不知名人士从 Indexed Finance DeFi 项目的流动资金池中提取了价值约 1600 万美元的资产。开发商报告称，黑客利用了再平衡机制中的漏洞。

索引攻击事后分析：https://t.co/ASWB8PlcU0

— 指数金融 (@ndxfi)，2021 年 10 月 15 日

Indexed Finance 为用户提供访问针对加密货币行业的数字索引的权限。 这些工具是放置在由“平衡器协议的分叉”管理的流动性池中的 ERC-20 代币。 该项目使用 Uniswap oracle 来计算资产的百分比、价格和动态。

据开发人员称，这次攻击影响了两个指数——DEFI5 和 CC10。 为了实现它，攻击者使用了即时贷款。

在攻击发生时，DEFI5 池已准备好重新编制索引，因为任何用户都可以在每周进行 3 次重新平衡后启动它。 Uniswap 原生代币（UNI）是第一个“初始化”（代币余额与其权重对应）资产，适用于估算整个矿池的近似价值。

黑客在池中添加了 SushiSwap 协议 (SUSHI) 的原生代币——在重新索引期间，Indexed Finance 机制使得可以将资产的最低余额设置为 11,926 SUSHI（约 126,000 美元）攻击时间）。

攻击者随后在 SushiSwap 和 Uniswap V2 上使用了即时贷款功能。 他收到了总价值为 1.56 亿美元的 UNI、AAVE、COMP、CRV、MKR 和 SNX 代币，并将它们贡献给了 DEFI5 池。 所有这些资产都被初始化。

攻击者交换。 数据：索引金融。

黑客使用借来的资产从池中购买 UNI。 由于 Indexed Finance 的原生限制，该交易不得不拆分为多个交易。

黑客获得了几乎所有的 UNI 代币后，更新了索引控制合约，跟踪池中代币的价值并设置“投资组合目标”。 由于 UNI 的余额非常低，协议计算出该池的价值约为 29,851 SUSHI（约 300,000 美元），即使它收到了超过 1 亿美元的资产。

黑客获得的 UNI 用于发行 DEFI5 代币。 攻击者还出于这些目的发送了借来的 SUSHI（该版本被高估了）。 他多次重复操作。

黑客操纵。 数据：索引金融。

之后，他偿还了即时贷款并获得了价值约1100万美元的资产，对CC10矿池的攻击也是以类似的方式进行的。 他从中提取了大约 500 万美元。

Indexed Finance 称该事件对该项目具有“破坏性”，并指出他们知道如何关闭漏洞。 该团队还获得了“受人尊敬的以太坊开发人员”的帮助。

项目管理部门将与社区讨论受害者赔偿的程序。 她会向经历过类似情况的协议寻求建议。

回想一下，在 9 月份，一个不知名的人入侵了 Vee.Finance 登陆平台，并以总计约 3500 万美元的价格提取了代币化的比特币和以太坊。

—-

原文链接：https://forklog.com/defi-proekt-indexed-finance-poteryal-16-mln-iz-za-hakerskoj-ataki/

原文作者：Артем Галунов

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。