CER:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析_Animal Concerts

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

FEED创始人Patrick：为DeFi创造一个真正的财富管理平台:2021年7月23日FEED创始人Patrick做客XT直播间，与XT AMA专栏主持人Joyce在XT官方英文群以及中文群内进行了在线AMA活动。

在谈及FEED的发展计划时Patrick表示：“我们已经在7月初推出了第一个金库，随着我们的发展，还会有更多的金库陆续出现。到8月，我们可能会有一个重要的新功能上线，会从根本上改变DeFi/BSC生态系统内DeFi的导航方式。我们还可能在8月或9月前加入多链，并扩大我们的目标市场。 ”

XT是一家社交化交易平台。[2021/7/23 1:11:50]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

孙宇晨：我们已经在设想并实现一个“万链互连”的未来:据最新消息显示，波场大航海时代 4.0全球线上发布会正在进行中，波场TRON创始人兼BitTorrent CEO孙宇晨在发布会中表示：“在大家还在摸索区块链的门槛时，我们已经在设想并实现一个“万链互连”的未来。波场4.0，我们推出了TICP跨链协议，波场真正迈入跨链时代。由于资源限制，波场TRON网络对接入波场公链的跨链数量做了限制，对接入波场公链的方式进行了规范，并对跨链中的恶意行为进行惩罚，从而维护一个良好的跨链环境。我们会继续推出跨链的抵押机制与激励机制，吸引更多优质项目加入波场TRON的跨链生态。”[2020/7/7]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

数据分析公司：发现一个dydx协议的止损订单bug 现已修复:数据分析公司Omni Analytics Group发推称：“我们无意中发现了一个关于dydx协议的止损订单bug，并与他们取得了联系。我们还没来得及解释具体问题，他们就已经把问题解决了。这就是我们可以期望从以太坊和DeFi社区得到的支持水平。”[2020/5/30]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

在函数calcMint中，合约使用以下公式来计算铸币量：

动态 | 币安宣布下一个Launchpad上线项目为Harmony:币安宣布下一个Launchpad上线项目为Harmony，将于5月15日宣布代币销售细节和更新的摇号抽签安排。据Block123.com信息，Harmony是基于分片技术的新一代高性能公链，已于2月份发布测试网络。[2019/5/12]

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERTPSHTTCERTceres币价格趋势tps币圈BHTTAnimal Concerts

币赢热门资讯