BCH:不再安全的TWAP预言机？VesperFi Fianance被黑事件分析 -ODAILY_USDAP

前言

11月3日，知道创宇区块链安全实验室监测到以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击，损失超300万美元。

知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

攻击流程简析

攻击分为两部分：

第一部分：攻击阶段

交易哈希：0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻击者向pool添加(VUSD对USDC为无穷大)的0.1USDC流动性

Curve 社区发布不再将 UST 池提供激励的提案:5月19日消息，Curve 社区发布新提案建议将 UST 池移除出 Gauges，不再向其提供流动性激励，此举旨在防止添加流动性时产生的高滑点以及部分用户通过流动性池不均匀的分布获利等情况。[2022/5/19 3:27:16]

动态 | Bitcoin.com矿池不再支持BCH 12.5%出块奖励开发基金提议:金色财经报道，在周二早些时候发布的博客文章中，Roger Ver的矿池Bitcoin.com表示将不再支持江卓尔上周公布的BCH 12.5%的出块奖励开发基金提议。博客文章称：“Bitcoin.com不会冒着链条分裂或基础经济发生变化的风险。任何提议都将需要尽可能多的具有经济影响力的人参与其中，包括企业、交易所、矿工和比特币现金实施方案。”[2020/1/29]

2.攻击者通过Swap用232kUSDC兑换走pool内正常的222kVUSD流动性

动态 | NBA球员即将推出其数字投资工具，或不再与其NBA合同挂钩:经过与NBA几个月的讨论，NBA篮球运动员Spencer Dinwiddie将于1月13日推出他的数字投资工具。消息人士称，Dinwiddie已经对其产品进行了更改，不再将该平台与他的NBA合同联系在一起。NBA首席传讯官Mike Bass在一份声明中说：“ Dinwiddie的顾问向我们提供了有关其修改版本的数字代币理念的新信息，我们正在审查这些信息，以确定是否可以在联盟规则下允许更新的理念。”据此前报道，Dinwiddie去年宣布，将代币化他的三年期共3450万美元的NBA合同。NBA在9月份禁止了他的计划。（The Athletic）[2020/1/11]

声音 | Calvin Ayre：BSV不再需要“BCH”名称:BCHSV支持者Calvin Ayre今日发布推文称，CoinGeek觉得协商没有必要，只要BCHABC添加重放攻击保护措施，没人再会去打扰他们（BCHABC），他们可以保留BCH的名称，因为BSV不是原始的BCH而是原始的BTC。澳本聪也表示，在与Calvin及其团队的讨论中，他们希望接下来的一年工作重点在商业应用上，澳本聪尊重Calvin的意见。正如Calvin说的那样，如果BCHABC添加重放保护措施，就让市场决定一切。[2018/11/24]

第二部分：套利阶段

交易哈希：0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通过Swap将222kVUSD兑换为2205MMfVUSD

2.将2205MM抵押置换成其他pool基础代币

攻击原理分析

1.首要分析为什么黑客要进行两次操作，而不通过同一攻击合约完成操作？

解决这个问题首先我们要知道UniswapV3使用的预言机为TWAP类型，该预言机功能为获取一个时间周期上的交易平均价格，也就是说当价格已经发生改变时，该交易可能还并没有处在TWAP获取价格的时间周期中。

所以在黑客已经完成攻击后，他并没有基于兑换手中的VUSD，而是等到价格发生变化时再入手。我们也确实可以看到套利阶段发生在攻击阶段10块高后。

攻击交易哈希：

套利交易哈希：

2.至于添加流动性和兑换流动性得到解释在UniswapV3中，只有一个区块内对价格有影响的第一笔交易会被写入预言机。

因此添加过高的流动性可以让TWAP发现并获取到攻击者指定的价格。而兑换走流动性则是让TWAP发现前一步骤以及套利。

总结

本次安全事件的主角虽然是\nVesperFiFianance，但是更让人关心的是UniswapV3的TWAP预言机是否依然安全，可以观察到并非TWAP\n预言机本身错误地获取了价格，而是一个严重超高的价格被设置出来让它获取的，不可否认其存在局限性，但是本次事件最主要的问题还是流动性过于集中在预期价格附近很容易被操纵以及允许\npool内单个代币不合理的流动性被设置。

知道创宇区块链安全实验室在此提醒，任何有关资金问题的操作都需要慎重考虑，合约审计、风控措施、应急计划等都有必要切实落实。

标签：BCHNBAUSDVINbcha币涨的可能性MoonbaseUSDAPVINU

以太坊价格热门资讯