BOSON:首发 | 一个小数点造成数百万美元蒸发 Fantasm Finance攻击事件分析_SIMPSON价格

北京时间2022年3月9日21:50，CertiK安全专家团队检测到Fantasm Finance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH（价值约270万美元）。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道，据百度Apollo智能驾驶官方公众号，百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品，以百度汽车机器人为主体形象，每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉，该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告，4月9日16:50，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日16:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT空投奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

LBank蓝贝壳于4月10日01:00首发 BOSON，开放USDT交易:据官方公告，4月10日01:00，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日23:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月10日01:00开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/7 19:54:33]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成Fantasm Finance巨额损失。

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut = (_fantasmIn * _fantasmPrice * COLLATERAL_RATIO_MAX * (PRECISION - mintingFee)) / PRECISION / (COLLATERAL_RATIO_MAX - collateralRatio) / PRICE_PRECISION。

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

攻击者可因此获取大约1000个ETH，所有的资金均被转移至Etherscan（地址为0x47091e015b294b935babda2d28ad44e3ab07ae8d）并被发送到tornado proxy。

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特[https://twitter.com/CertiKAlert]进行了播报。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2. https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3. https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4. https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5. https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6. https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7. https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：BOSONSONBOSUSDboson币项目方是那的SIMPSON价格SHIBOSHIusda币多少人民币

莱特币最新价格热门资讯