11月3日,知道创宇区块链安全实验室 监测到 以太坊上的 DeFi 协议 VesperFi Fianance 遭遇预言机操控攻击,损失超 300 万美元。知道创宇区块链安全实验室 第一时间对本次事件深入跟踪并进行分析。
攻击分为两部分:
第一部分:攻击阶段
交易哈希:
0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c5
1.攻击者向 pool 添加(VUSD 对 USDC 为无穷大)的 0.1USDC 流动性
以太坊钱包Argent不再替用户支付Compound等应用的Gas费:据官方消息,以太坊钱包Argent对其Gas收费政策进行更新,最大的变化是不再替用户支付使用TokenSets、Uniswap V2 、Kyber、Maker的储蓄利率(DSR)以及Compound所产生的Gas费用。Argent 表示,将为以下服务支付Gas费用:
1. ETH、ERC20代币和收藏品的转账;
2. 添加“监护人”或更改每日转账限额上限设置所需要支付的Gas费用;
3. 使用借贷平台Aave的Ggas费(该费用由Aave补贴);
4. 使用无损彩票平台PoolTogether的Gas费(由PoolTogether补贴)。
此外,为简化流程,用户可以使用多种代币支付Gas费用,如ETH、ZRX、BAT、REP、DAI、USDC、USDT或WBTC。为避免网络拥堵和支付不必要的gas费用,Argent还引入了最低的交易(0.4ETH)和DeFi投资规模(0.2ETH)。[2020/6/30]
美国西弗吉尼亚州考虑不再使用Voatz区块链投票系统:西弗吉尼亚州国务卿Mac?Warner表示,“Voatz区块链投票系统被发现有漏洞,如果公众不想使用它,或者对结果失去信心,我们必须考虑到这一点。”据此前消息,?麻省理工学院(MIT)的一个工程师团队进行的新研究发现,一个名为Voatz的区块链投票系统存在一系列令人担忧的漏洞。在对Voatz的Android应用程序进行逆向工程之后,研究人员称,如果攻击者破坏了管理Voatz API的服务器,甚至可能在选票到达时改变它们,这显然是一种令人担忧的威胁。(CoinDesk)[2020/3/2]
声音 | Enigma创始人:大多数令牌10年后将不再存在:据cointelegraph报道,区块链公司Enigma的创始人兼首席执行官Guy Zyskind在接受cointelegraph的采访时表示,他持有一些比特币,以及一些以太坊。他迷上比特币的原因是,这是首次可以再在互联网的规模上做出大规模的共识。Zyskind认为以太坊和比特币之间的巨大差异就是生态系统。以太坊可以让开发人员开发那些不能在一个地方运行但在很多地方同时运行的应用程序。此外,Zyskind还表示,他认为10年后,大多数协议都将不再存在,大多数令牌也会不再存在。会有一到两个赢家,或者10、20甚至50个,但他真正好奇的是协议和项目将如何开始相互融合。[2018/7/20]
2.攻击者通过 Swap 用 232k USDC 兑换走 pool 内正常的 222k VUSD 流动性
第二部分:套利阶段
0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf8092
1.通过 Swap 将 222k VUSD 兑换为 2205MM fVUSD
2.将 2205MM 抵押置换成其他 pool 基础代币
1.首要分析为什么黑客要进行两次操作,而不通过同一攻击合约完成操作?
解决这个问题首先我们要知道 Uniswap V3 使用的预言机为 TWAP 类型,该预言机功能为获取一个时间周期上的交易平均价格,也就是说当价格已经发生改变时,该交易可能还并没有处在 TWAP 获取价格的时间周期中。
所以在黑客已经完成攻击后,他并没有急于兑换手中的 VUSD,而是等到价格发生变化时再入手。我们也确实可以看到套利阶段发生在攻击阶段 10 块高后。
攻击交易哈希:
套利交易哈希:
2.至于添加流动性和兑换流动性得到解释
在 Uniswap V3 中,只有一个区块内对价格有影响的第一笔交易会被写入预言机。因此添加过高的流动性可以让 TWAP 发现并获取到攻击者指定的价格。而兑换走流动性则是让 TWAP 发现前一步骤以及套利。
本次安全事件的主角虽然是 VesperFi Fianance,但是更让人关心的是 Uniswap V3 的 TWAP 预言机是否依然安全,可以观察到并非 TWAP 预言机本身错误地获取了价格,而是一个严重超高的价格被设置出来让它获取的,不可否认其存在局限性,但是本次事件最主要的问题还是流动性过于集中在预期价格附近很容易被操纵以及允许 pool 内单个代币不合理的流动性被设置。
寻找更具资本效率、代币经济模型更加完善的下一代 DeFi 协议。预计到 2022 年,我们可以看到所谓的「DeFi 2.0」兴起.
1900/1/1 0:00:00金色财经 区块链12月18日讯 欧洲中央银行(ECB)最近发布了一项研究报告,其中称有可能会开发一套保护用户隐私的央行数字货币支付系统.
1900/1/1 0:00:0013年牛市中期大调整,BTC从高位迎来幅度接近80%的大幅下杀,不过周线一直未有效跌破下方0.382支撑线,第一波急杀在此插针超跌反弹,反弹后再次回落探底,然后也是在这一带止跌企稳.
1900/1/1 0:00:00Zebpay曾是印度最大的加密货币交易所,去年在该国对加密活动的打击整顿中被迫迁移到海外。Zebpay首席执行官日前警告称,如果印度批准加密禁令,可能会有价值近5亿美元的比特币流入市场.
1900/1/1 0:00:005月25日晚,内蒙古打出了第一:据内蒙古发改委官方公众号,提出按照国务院金融稳定发展委员会第51次会议关于打击比特币挖矿和交易行为的部署要求.
1900/1/1 0:00:00日本金融厅(FSA)日前在官网发出声明,对无牌交易所SB101进行警告。SB101注册地在直布罗陀,并未在FSA进行注册备案;目前,SB101正在向日本居民发行名为“Atomic Coin”(原.
1900/1/1 0:00:00