USDC:又现套利攻击：Goldfinch项目的SeniorPool合约遭受攻击事件分析_USDFL币

又现套利攻击！—Goldfinch项目的SeniorPool合约遭受攻击事件分析

2022-06-2816:55:30

2022年6月28日，成都链安链必应-区块链安全态势感知平台舆情监测显示，Goldfinch项目的SeniorPool合约遭受攻击，攻击者累计获利金额为28,523个USDC，项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析，现与大家分享。

去中心化社交功能平台Passage融资600万美元:金色财经报道，去中心化社交功能平台Passage获得600万美元私募融资，该平台由Cosmos构建并与Sortium的人工智能(AI)技术集成。该轮融资由Akash Network牵头，其他支持包括Druid Ventures、Vitwit、Cosmostation、Hyperchain Capital、Chorus One和Cogitent Ventures，以及Cosmos生态系统参与者。

Passage将利用这笔资金进一步开发其世界构建工具，资金还将用于构建该平台的社交仪表板、企业解决方案和开源贡献工具。Passage将于8月29日在StreamSwap上公开发售PASG代币。[2023/7/27 16:02:51]

#攻击过程

数据：Brevan Howard Digital过去3天内将21万枚LDO转至Coinbase:5月16日消息，Brevan Howard Digital（原Dragonfly Capital）的钱包0x7d6于今日凌晨以2.15美元的价格将16万枚LDO（34.4万美元）转移到Coinbase。该地址在过去3天内共将21万枚LDO（约合39.1万美元）转移到Coinbase。[2023/5/16 15:05:18]

攻击交易地址：

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

a16z发文介绍Aztec Connect的跨链密封投标拍卖模式:2月23日消息，a16z发文介绍了使用Aztec Connect的跨链密封投标拍卖模式。它可以为任意规模的投标提供隐私，而无需额外的抵押品。

Aztec Connect是一个框架，它使用户能够从Aztec的ZK rollup的隐私中访问以太坊L1上的智能合约。以太坊上的汇总处理器合约可以调用符合特定接口的兼容桥接合约，允许Aztec用户使用他们的托管资产与这些合约进行交互。桥接合约通常插入L1上现有的DeFi协议，例如，已经为Uniswap、Lido和Element Finance实施了桥接。[2023/2/23 12:23:49]

攻击者地址：

WatcherGuru：价值5.1亿美元的比特币期权将于周五到期交割:金色财经报道，WatcherGuru发推称，价值 510,000,000 美元的比特币期权将于本周五到期交割。[2022/10/20 16:31:58]

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻击者合约：

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻击存在多笔，我们选取了具体的一笔攻击交易进行分析：

1.?第一步：攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。

2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。

3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数，把106,667个FIDU代币兑换成113,853个USDC，然后归还闪电贷110,011个USDC，剩余本次攻击获利的3,842个USDC。

漏洞原因为：攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币，来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07，这就产生了套利空间。

图1?Curve中FIDU兑换USDC的比例

图2?SeniorPool合约中FIDU兑换USDC的比例

下面是具体的代码实现：

攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加，攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币，从而获取SeniorPool合约抵押FIDU代币的红利。

总结

针对本次事件，成都链安安全团队建议：

项目方使用新的代币代替FIDU代币为凭据代币，并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计，规避安全风险。

来源：金色财经

标签：USDCUSDSDCFIDusdc币市值减少USDFL币sdchainfida币怎么样

NEAR热门资讯