北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?
火币研究院马天元:DEFI应用的集成产品将是下一个阶段的流量入口:10月22日,火币大学《全球区块链领导者课程(GBLP)》第五/六期金融模块继续开课。火币研究院首席技术研究院马天元以《DeFi解析》的主题为学员们带来分享。
马天元表示,DeFi本身是多项创新分布式应用的集合,包括借贷、DEX、稳定币、衍生资产和预言机,这五个赛道相互紧密联系,缺一不可,在过去半年中取得了极高的热度,其中最重要的两个赛道是DEX和借贷。当区块链应用越来越多,DEFI应用的集成产品将是下一个阶段的流量入口,比如收益聚合器、交易聚合器,而在借贷领域,聚合借贷、汇聚流动性的产品,也是创业者可以思考的方向。[2020/10/22]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
动态 | 观点:将区块链技术引入政府部门是一个不可逆转的趋势:Cointelegraph今日发表分析师文章称,在中国,区块链技术已经找到了应用沃土。现有基础设施的缺乏会刺激新技术的更快采用。政府对数字经济的重视,以及对区块链技术的谨慎但有希望的认可,是投资者应认真对待的重要信号。在其他国家,政府和金融机构也在考虑是否可以将区块链应用于各种系统,以降低成本并促进公民对数据的访问。2019年7月,七家大型韩国公司合作开发基于区块链的移动识别系统,该系统计划于2020年启动,区块链网络已被命名为Initial DID Association。欧盟最近几年也开始公开承认区块链技术。将区块链技术引入全球政府部门是一个不可逆转的趋势。值得回顾的是几年前各国对区块链的态度,以及现在正在发生的变化。[2019/11/25]
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
声音 | 百通首席执行官:区块链对物联网的改造是一个融合的过程:据中国台州网消息,美国最大的高速电子电缆生产商百通(Belden)首席执行官Kusnan Bin表示,运用区块链技术对物联网行业进行改造,并不是一个颠覆的过程,而是一个融合的过程,是物联网产业像融合云计算、大数据、人工智能技术一样,来融合区块链技术,运用区块链技术去解决或完善物联网产业中的某些环节和问题。[2018/11/8]
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
声音 | Trevor Koverko:证券化令牌是加密中下一个大趋势:据bitcoinexchangeguide消息,Polymath CEO Trevor Koverko表示:“证券化令牌是加密中的下一个大趋势。他表示对证券化令牌有很大兴趣,特别是因为它们能够将纸质合同、有限合伙公司股份、房地产等更多的东西转换成可编程的区块链合同。这种特性可以“淘汰你整个后台办公室”。此外,美国SEC已经开始将许多令牌标记为证券化令牌。因此,人们需要为证券化令牌的大趋势做好准备。[2018/9/15]
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。