Inverse Finance案件还原预言机操纵层出不穷链上套利上演「黑吃黑」

2022年1月26日有黑客以类似的手法攻击了借贷平台Rari的Index Coop Pool，但结果却是攻击失败。

攻击者首先买入285 ETH 的BED（WETH、WBTC、DPI组成的合成资产），希望大幅抬高BEP价格影响Uniswap V3 TWAP预言机，再抵押提前准备的BED借出其他资产。

图片来源：OKLink

由于BED在其他市场基本没有流动性，正常情况下这次攻击会成功。但攻击者忽略了BED本身属于合成资产，除了市场上的流动性外，还可以用对应等值的资产mint。

于是在黑客发起攻击的的下一个区块，MEV-bots就发起了“反击”。MEV-bots通过购买WETH、WBTC、DPI直接mint出了4,915.91个BED并卖出，直接将价格拉回了正常水平。

由于使用了TWAP预言机，单一区块的波动无法影响最终预言机价格。所以攻击者计划落空，最终亏损了68 ETH离场。

数据显示，截至4月8日，MEV提取价值已经达到了6.08亿美元，其中99.4%来自套利。过去30日的MEV提取价值为740万美元。

安全，是DeFi生态繁荣发展的保证

预言机作为DeFi生态重要的基础设施，其安全性是DeFi生态繁荣发展的保证，链上天眼认为，安全审计应审查预言机的价格算法、经济模型等。

项目方在设计借贷池的时候，抵押借贷的经济模型，不仅要关注价格，还要关注流动性，流动性差会导致相应的链上资产价格易被操纵。在上线前应加强对预言机的针对性测试，上线后也需对预言机进行定期的安全检查。