月亮链 月亮链
Ctrl+D收藏月亮链
首页 > NEAR > 正文

USDC:又现套利攻击:Goldfinch项目的SeniorPool合约遭受攻击事件分析_USDFL币

作者:

时间:1900/1/1 0:00:00

又现套利攻击!—Goldfinch项目的SeniorPool合约遭受攻击事件分析

2022-06-2816:55:30

2022年6月28日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Goldfinch项目的SeniorPool合约遭受攻击,攻击者累计获利金额为28,523个USDC,项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析,现与大家分享。

去中心化社交功能平台Passage融资600万美元:金色财经报道,去中心化社交功能平台Passage获得600万美元私募融资,该平台由Cosmos构建并与Sortium的人工智能(AI)技术集成。该轮融资由Akash Network牵头,其他支持包括Druid Ventures、Vitwit、Cosmostation、Hyperchain Capital、Chorus One和Cogitent Ventures,以及Cosmos生态系统参与者。

Passage将利用这笔资金进一步开发其世界构建工具,资金还将用于构建该平台的社交仪表板、企业解决方案和开源贡献工具。Passage将于8月29日在StreamSwap上公开发售PASG代币。[2023/7/27 16:02:51]

#攻击过程

数据:Brevan Howard Digital过去3天内将21万枚LDO转至Coinbase:5月16日消息,Brevan Howard Digital(原Dragonfly Capital)的钱包0x7d6于今日凌晨以2.15美元的价格将16万枚LDO(34.4万美元)转移到Coinbase。该地址在过去3天内共将21万枚LDO(约合39.1万美元)转移到Coinbase。[2023/5/16 15:05:18]

攻击交易地址:

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

a16z发文介绍Aztec Connect的跨链密封投标拍卖模式:2月23日消息,a16z发文介绍了使用Aztec Connect的跨链密封投标拍卖模式。它可以为任意规模的投标提供隐私,而无需额外的抵押品。

Aztec Connect是一个框架,它使用户能够从Aztec的ZK rollup的隐私中访问以太坊L1上的智能合约。以太坊上的汇总处理器合约可以调用符合特定接口的兼容桥接合约,允许Aztec用户使用他们的托管资产与这些合约进行交互。桥接合约通常插入L1上现有的DeFi协议,例如,已经为Uniswap、Lido和Element Finance实施了桥接。[2023/2/23 12:23:49]

攻击者地址:

WatcherGuru:价值5.1亿美元的比特币期权将于周五到期交割:金色财经报道,WatcherGuru发推称,价值 510,000,000 美元的比特币期权将于本周五到期交割。[2022/10/20 16:31:58]

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻击者合约:

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻击存在多笔,我们选取了具体的一笔攻击交易进行分析:

1.?第一步:攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。

2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。

3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数,把106,667个FIDU代币兑换成113,853个USDC,然后归还闪电贷110,011个USDC,剩余本次攻击获利的3,842个USDC。

漏洞原因为:攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币,来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07,这就产生了套利空间。

图1?Curve中FIDU兑换USDC的比例

图2?SeniorPool合约中FIDU兑换USDC的比例

下面是具体的代码实现:

攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加,攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币,从而获取SeniorPool合约抵押FIDU代币的红利。

总结

针对本次事件,成都链安安全团队建议:

项目方使用新的代币代替FIDU代币为凭据代币,并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

来源:金色财经

标签:USDCUSDSDCFIDusdc币市值减少USDFL币sdchainfida币怎么样

NEAR热门资讯
ROLL:一文了解无状态 Rollup_iht-real-estate-protocol

注:原文作者是AlexBeckett,目前就职于Celestia。全节点验证区块的方式,是通过下载所有交易并重新执行它们来检查其有效性,毫不奇怪的是,更大的区块会给全节点带来更大的负担,因为处理.

1900/1/1 0:00:00
比特币:比特币“储备风险”指标接近历史低点._NFT

数据显示,比特币“储备风险”指标最近大幅下跌,目前正达到历史低点,仅在2015年熊市和2020年3月COVID崩盘时出现过.

1900/1/1 0:00:00
QTC:冷风说币:大饼搭舞台 山寨唱大戏 谁再翻倍?2022.06.25_RBI

市场消息美国5月新屋销售户数未如市场预期下降,反而环比猛增10.7%,是今年首次月度增长,调查显示,影响美联储本月加息决策的重要因素——6月消费者信心指数显示通胀预期略有下降.

1900/1/1 0:00:00
FTX:光艺崩盘?其他小平台的破发还远吗?_SPUNK Vault (NFTX)

6月27日晚10点,光艺数藏平台出现异常,其二级市场上的藏品售价破发,导致大量藏家蒙受损失,与平台合作的机构亦开始抛售.

1900/1/1 0:00:00
EFI:DeFi还能回到巅峰状态吗?_Game Ark

所有的胜利,都是来自对信仰的坚持。相信相信的力量,这里从未让你我失望。欢迎关注星空价值投资,总要有人,仰望星空市场对于价格的彻底破坏,显性表现自然是“价格暴跌”,但真正的摧毁性来自“叙事”的崩塌.

1900/1/1 0:00:00
NFT:?AMAZINGPANDAVERSE打造2.0元宇宙生态的能量杠杆_PAN

前言:熊猫是当之无愧的中国文化符号,国际传播中的熊猫形象随之发展演化,不断创新的熊猫形象也传递着中国新形象,随着时代发展.

1900/1/1 0:00:00