前言
北京时间4月28日,Fantom平台DEUS协议又一次遭到攻击,损失约1340万美元,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
Bored Ape Yacht Club #7094 以131.69ETH的价格成交:金色财经报道,Etherscan数据显示,Bored Ape Yacht Club #7094 以131.69ETH的价格成交。[2023/2/22 12:22:35]
攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
何一:币安未来会把大部分的加密货币进行公开储备证明:1月10日消息,Binance联合创始人兼CMO、Binance Labs负责人何一在“POW'ER2023香港Web3创新者峰会”上时表示,币安未来会把大部分的加密货币进行公开储备证明,加密资产储备审计和上市财务审计不是一回事,上市财务审计是另外一个概念,目前行业只有 Coinbase 这家上市公司进行了上市财务审计。此外,四大会计师事务所目前不太有积极性去做加密资产审计,币安也希望有审计公司愿意进行审计。[2023/1/10 11:04:12]
攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
日本银行业巨头野村证券宣布投资支付公司Fnality:金色财经报道,根据Fnality周一的公告,日本银行业巨头野村证券投资了总部位于伦敦的区块链支付公司Fnality。这家金融服务公司还将加入Fnality 的全球银行国际联盟,该联盟专注于建立一个基于数字资产的受监管的点对点支付系统。
Fnality已经将 16 家主要金融机构列为支持者:桑坦德银行、纽约梅隆银行、巴克莱银行、加拿大帝国商业银行、德国商业银行、瑞士信贷、欧洲清算银行、ING、KBC 集团、劳埃德银行集团、瑞穗金融集团、三菱日联银行、纳斯达克、三井住友银行、道富公司和瑞银。
金色财经此前报道,区块链支付公司Fnality正寻求融资约5000万英镑。[2022/9/26 22:29:58]
攻击流程
1、从StableV1AMM多个包含USDC的交易对中,闪电贷共借出143,200,000USDC;
2、143,200,000USDC兑换为9,547,716DEI,抬高了交易对中DEI的价格;
3、71,436DEI作为抵押品,借出17,246,885DEI;
4、9,547,716DEI兑换回143,184,725USDC,USDC/DEI交易对价格回复正常;
5、归还闪电贷。
漏洞原理
问题根源在于Oracle喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵
总结
此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。