前言
北京时间4月28日,Fantom平台DEUS协议又一次遭到攻击,损失约1340万美元,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
数据:比特币手续费昨日创下635.35 BTC的历史新高:金色财经报道,根据Tokenview的数据,比特币手续费昨日创下635.35 BTC的历史新高,费用同比上涨了57.3%。[2023/5/9 14:52:25]
攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
比特币区块78700和78702的手续费收入超过出块奖励:金色财经报道,btc.com数据显示,比特币区块78700和78702的手续费收入超过出块奖励。两区块分别由FoundryUSA和不知名矿池产出。据数据显示,现在BTC平均每个区块手续费4.85BTC,占出块奖励6.25BTC的77.6%。[2023/5/8 14:49:19]
攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
NFT巨鲸n0b0dy.eth以130 WETH价格购入“无聊猿”BAYC#3438:金色财经报道,据最新数据显示,NFT 巨鲸 n0b0dy.eth 以 130 WETH 价格购入“无聊猿”BAYC#3438,约合 267,298.56 美元。截止目前,n0b0dy.eth 已持有猿猴系列 NFT 主要包括:22 个“无聊猿”BAYC、24 个“变异猿”MAYC、以及 61 个 Yuga Labs 元宇宙项目 Otherside 虚拟地块 Otherdeed。[2022/5/18 3:23:40]
攻击流程
1、从StableV1AMM多个包含USDC的交易对中,闪电贷共借出143,200,000USDC;
2、143,200,000USDC兑换为9,547,716DEI,抬高了交易对中DEI的价格;
3、71,436DEI作为抵押品,借出17,246,885DEI;
4、9,547,716DEI兑换回143,184,725USDC,USDC/DEI交易对价格回复正常;
5、归还闪电贷。
漏洞原理
问题根源在于Oracle喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵
总结
此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
Chainlink是Web3生态中至关重要的基础设施,为整个智能合约生态提供了所需的链下服务,包括安全的喂价、可验证的随机数以及信任最小化的智能合约自动化服务.
1900/1/1 0:00:002022年4月7日,由区块链内容孵化平台和创客社区MixMarvel孵化的MixMarvelDAOVenture正式启动.
1900/1/1 0:00:00“近日圈内FOMO情绪高涨的新算法稳定币项目Nirvana创建了一种新型的AMM机制,解决了算法稳定币在流动性上的问题,同时被其反复套娃机制,有庞氏的影子.
1900/1/1 0:00:00Bitfinex委任GilesDixon为授权部主管Bitfinex近日委任GilesDixon为授权部主管,他将在Bitfinex获得全球多个司法管辖区的监管批准和牌照方面发挥主导作用.
1900/1/1 0:00:00波场去中心化算法稳定币USDD于今日正式上线,波场TRON正式开启稳定币3.0时代。 USDD是波场DAO联合区块链行业的主流机构推出的去中心化算法稳定币,以数学与算法实现人类的金融自由,不依赖.
1900/1/1 0:00:00前言2022年1月18日,知道创宇区块链安全实验室监测到BSC上Crosswise遭遇攻击,此次攻击导致协议损失87.9万美元.
1900/1/1 0:00:00
月亮链