DEI:被盗1570万美元！DEUS Finance DAO攻击事件分析_OIN

?北京时间2022年4月28日10:40:14，CertiK审计团队监测到DEUSFinance的合约被恶意攻击，造成了约1570万美元的损失。

攻击者恶意操纵DEI的价格，从DeiLenderSolidex合约中通过提供少量的抵押品提取了大量的DEI。

漏洞交易

https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

欧盟将要求所有生成式AI内容必须注明来源:金色财经报道，针对AI生成图片引发的混乱，欧盟内部市场专员、工业和信息化产业负责人蒂埃里·布雷顿公开表示，欧盟希望对AI生成的内容进行强制性的规定。布雷顿表示：“欧盟将是首个做出明确规定的政府，人工智能生成的一切，无论是文本还是图像，都有义务告知它们是由人工智能完成的。”欧盟人工智能法案将于本月起正式进行投票，生成式AI也将作为被监管的重点对象被纳入其中。（鞭牛士）[2023/4/3 13:42:07]

攻击步骤

Web3金库管理基础设施Coinshift集成资金流协议SuperFluid:9月20日消息，Web3金库管理基础设施初创公司Coinshift宣布集成资金流协议Super Fluid，允许用户直接在Coinshift创建和管理实时工资流。Coinshift为DAO和Web3公司提供金库管理平台，建立在多签名智能合约平台Safe（原Gnosis Safe）之上。

此前5月份，Coinshift完成1500万美元A轮融资，TigerGlobal领投，红杉资本印度、Alameda Ventures、Spartan Group、Ethereal Ventures、Polygon Studios等参投。[2022/9/21 7:09:29]

①攻击者部署攻击合约并向借贷池DeiLenderSolidex合约提供抵押。②随后攻击者利用攻击合约获得了超过143,200,000USDC用以发起攻击。

英国ASA独立审查发现阿森纳球迷代币促销“轻视”了对加密货币的投资风险:金色财经报道，在俱乐部提出上诉后，一项独立审查维持了英国广告标准局 (ASA) 针对足球俱乐部阿森纳针对其球迷代币的在线广告的裁决。

在周三的一份声明中，监管机构表示，阿森纳已经轻视了对加密资产的投资，并鼓励消费者进行高风险投资，而在一个广告的情况下，没有提及付费粉丝代币的风险。?

该投诉涉及 2021 年 8 月在 Facebook 和俱乐部网站上发布的宣传其粉丝代币 AFC 的内容。该代币授予持有人对某些俱乐部决定的投票权，只能使用公司的加密货币 Chiliz 在 Socios 应用程序上购买。

去年有几家公司因其与加密货币相关的广告而引起了 ASA 的注意，其中包括 Kraken 和 Coinbase。 越来越多的案件促使 ASA 在 3 月份发布了有关加密广告的指南，建议公司明确有关加密资产的某些要点，包括它们不受监管。[2022/8/10 12:15:48]

③攻击合约将这143,200,000个借得的USDC在USDC/DEI交易对池0x5821573中换为9,547,716个DEI，此举导致DEI的价格被大幅提高。

④由于DeiLenderSolidex合约是用预言机来确定用户抵押品的价值，而预言机合约使用被恶意操纵的交易对池的价格作为价格来源。因此通过提高的价格和之前提供的抵押，攻击者可从借贷池中总计借贷到17,246,885DEI，这一数额远大于之前攻击者提供抵押的金额。

⑤攻击者用9,547,716个DEI交换到的143,184,725USDC来偿还闪电贷款，最终获取差价离场。

漏洞分析

通过闪电贷，攻击者能够操纵交易对的状态，并进一步操纵DEUS的预言机价格，以此利用不对等的价值借贷DEI。

资产去向

截至撰稿时，黑客已将攻击所得转到以太坊上并换成ETH，随后将5,446个ETH存入TornadoCash。https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history?

写在最后

预言机合约不应该直接使用交易对池中的价格作为价格来源，而安全审计可以有效地避免这一风险。CertiK安全专家建议：如果只有代币合约被审计，这种情况在审计过程中将会指出第三方依赖风险。项目应该避免直接从交易对池中获取价格。建议根据项目的逻辑，使用更值得信任的预言机：1.使用多个可靠的链上价格预言机来源，例如Chainlink和Band协议。

2.使用时间加权平均价格。TWAP代表了一个代币在特定时间范围内的平均价格。因此如果攻击者仅操纵一个区块的价格并不会对平均价格产生太大的影响。

3.如果合约模式允许，将函数调用者限制在一个非合约/EOA地址。??

4.闪电贷款只允许用户在一次交易中进行借贷。如果合约用例允许，可强制关键交易至少跨越两个区块。?

标签：DEICOICOINOINBrigadeiro.Financecointiger如何提现Coinbase Wrapped Staked ETHhotcoinglobal2022

酷币热门资讯