DEI:Deus Finance预言机攻击_DEIP币

1.前言

北京时间2022年3月15日，知道创宇区块链安全实验室监测到DeusFinance遭到黑客攻击，损失约300万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

2.基础信息

攻击者地址：0x1ed5112b32486840071b7cdd2584ded2c66198dd

攻击合约：0xb8f5c9e18abbb21dfa4329586ee74f1e2b685009

WazirX联合创始人：Shardeum将在Sphinx上推出一个新的测试网:金色财经报道，WazirX联合创始人Nischal Shetty在社交媒体上称，Shardeum将在Sphinx上推出一个新的测试网，称为DApp测试网。这将是一个与目前的测试网平行的测试网。目前的测试网专注于验证器（此后我们将其称为验证器测试网），而新的测试网将专注于DApps。

当我们的团队致力于为验证器测试网带来稳定性时，我们将提供DApp测试网，它将被分片，但节点将由团队运行。我们想确保在我们进行验证器测试网工作时，创建DApps的速度不会降低。[2023/6/16 21:42:22]

DeiLenderSolidex合约：0xeC1Fc57249CEa005fC16b2980470504806fcA20d

公链项目Shardeum宣布完成500万美元战略融资:金色财经报道，WazirX CEO Nischal Shetty 创立的 Layer 1 公链项目 Shardeum 正寻求以 2.5 亿美元估值完成 500 万美元战略融资。[2023/3/8 12:50:04]

甲骨文合约：0x5CEB2b0308a7f21CcC0915DB29fa5095bEAdb48D

交易哈希：0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c

DEUS Finance发行的稳定币DEI严重脱锚，当前价格已跌至0.43美元:5月31日消息，基于Fantom的衍生品协议DEUS Finance发行的稳定币DEI严重脱锚，当前价格已跌至0.43美元，今日最低跌至约0.37美元。今晚，DEUS Finance发推称，目前的总DEI赎回量超过了1200万枚。今年三、四月份，DEUS Finance遭到过两次攻击，先后损失价值300万美元和1340万美元的代币。

5月中旬，DEI开始脱锚，考虑到此，DEUS Finance推出旨在确保DEI与美元挂钩的财库券计划，该计划通过发行期限在8周至52周的固定利率债券，借入资产包括稳定币USDC、DAI、FRAX以及比特币、以太坊、FTM来实现DEI的价值被完全抵押。债券可以随时被销毁并赎回为USDC（抵押不足时将部分支付DEUS），并在到期后赎回为DEI与利息。[2022/6/1 3:53:59]

3.漏洞分析

此次事件，漏洞关键在于协议通过StableV1AMM-USDC/DEI交易对在获取价格时被攻击者操控，导致普通用户资产被清算，最终获利。

DeiLenderSolidex合约的清算函数liquidate中，会通过isSolvent函数来判断用户是否应该被清算，而isSolvent调用Oracle.getPrice来问价判断抵押物的价格，因而产生了漏洞

由函数getPrice可知，代币价格算法：）x10^18/

DEI的代币价格是通过DEI和USDC在池子中的余额进行判断的的，因此攻击者利用闪电贷发起此次攻击，控制了DEI代币的价格。

4.攻击流程

攻击者从SPIRIT-LP_USDC_DEI中闪电贷借出约970万DEI代币，之后再次使用闪电贷从sAMM-USDC/DEI中获取了2477万DEI代币用于操纵价格预言机

随后清算价格操纵后的破产用户

之后偿还闪电贷到sAMM-USDC/DEI中

烧毁流动性代币获取521万USDC和524万DEI

使用521万USDC换取517万DEI

归还从SPIRIT-LP_USDC_DEI中借的970万DEI

最后攻击者将获取的DEI全部换成USDC，总获利约300万美元。

5.总结

本次攻击事件核心是由于价格预言机对代币价格的实现存在问题，使得能够人为的通过池子中代币的余额来对代币价格进行控制，导致了此次事件的发生，建议官方在使用预言机时能够严格控制价格的逻辑实现。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：DEIUSDSDCUSDCDEIP币AUSDTCUSDCusdc币是什么币

狗狗币价格热门资讯