北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
Liquity Protocol宣布推出一个自我引导流动性的DeFi机制Chicken Bonds:7月13日消息,去中心化借贷协议Liquity Protocol宣布推出一个自我引导流动性的DeFi机制 Chicken Bonds,旨在使项目和DAO能够免费为其代币启动协议拥有的流动性(POL) 。Chicken Bonds探索了一种新颖的本金保护债券机制,为终端用户增加收益机会,使他们能够获得新发行的btoken,以换取其绑定的代币。Chicken Bonds没有到期日,也没有锁仓期:用户在一段时间内累积btoken,同时可以随时赎回(Chicken In),或随时提取本金(Chicken Out)。
Chicken Bonds在绑定代币和bToken定价之间创造了一个飞轮效应:债券的人越多,bToken持有人保留的收益就越多。更高的收益率反过来增加了相对于基础代币的价格溢价,通过更高的年收益率使债券更具吸引力。[2022/7/13 2:09:25]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
欧洲央行行长:我们将拥有一个数字欧元:欧洲央行行长拉加德:我们将拥有一个数字欧元,希望5年内推出。[2021/1/13 16:04:37]
攻击步骤
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
现场 | 肖臻:民生领域是区块链落地非常好的一个领域:金色财经现场报道,11月22日,“2019环球数字经济创新大会”在北京国际饭店会议中心举行。北京大学计算机系研究员、博士生导师肖臻表示,民生领域是区块链落地非常好的一个领域,包括医疗报销、食品溯源、健康大数据等等。例如,可以借助区块链打破医院之间的信息孤岛,另外,区块链在慈善领域可以也大有可为。如水滴筹这类的捐款项目可以利用区块链实现公开透明,将会大大提升公益项目的公信力。[2019/11/22]
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
漏洞分析
动态 | 韩国互联网巨头Kakao正在开发4个加密钱包 其中一个类似于三星区块链钱包:8月30日,据相关人士透露,除此前提及的Klip钱包外,韩国互联网巨头Kakao还正在开发另外3个加密钱包,分别为网络浏览器钱包Kaikas、硬件钱包Trezor Wallet和Klaytn Phone Wallet,其中,Klaytn Phone Wallet将搭载到智能手机中,类似于三星区块链钱包,其特点是不用Kakaotalk也可以在智能手机中存储kakao DApp代币。此外,Kaikas钱包允许用户直接管理私钥。Kakao相关人士表示:“4种钱包都是为普通用户而开发的加密货币钱包,除了预计在第四季度推出的Klip外,其他3个钱包具体能否推出和推出时间还尚未确定。[2019/8/30]
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
资金去向
攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。