据慢雾区消息,2020年11月15日,ValueDeFi的ValueDeFiMultiStables保险库遭遇闪电贷攻击,慢雾安全团队于第一时间跟进并进行相关分析,以简要的形式呈现给大家,供大家参考。
1.攻击者首先从Aave中借出80000个ETH,为攻击做准备;
2.攻击者使用80000个ETH在UniswapWETH/DAI池中用闪电贷借出大量的DAI和在UniswapWETH/DAI兑换出大量的USDT;
美国谘商会经济学高级主管:美国经济领先指标连续第六个月下降,可能预示着经济衰退:9月22日消息,美国谘商会经济学高级主管Ataman Ozyildirim:美国经济领先指标连续第六个月下降,可能预示着经济衰退。在该指标的组成部分中,只有初请失业金人数和收益率差在过去6个月里起到了积极的作用,而收益率差的作用最近有所收窄。此外,劳动力市场的强劲势头预计将在未来几个月继续放缓。事实上,在过去的六个月里,制造业的平均每周工作时间有四个月在收缩,这是一个显著的迹象,因为企业在裁员之前减少了工作时间。整个美国的经济活动将继续更广泛地放缓,并可能出现收缩。经济放缓的一个主要原因是美联储为应对通胀压力而迅速收紧货币政策。[2022/9/22 7:14:49]
3.用户调用ValueMultiVaultBank合约的deposit合约使用第2步中小部分的DAI进行充值,ValueMultiVaultBank合约中一共有3种资产,分别是3CRV、bCRV、和cCRV。ValueMultiVaultBank合约在铸币的时候会将合约中的bCRV,cCRV转换成以3CRV进行计价,转化的途径为bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的价格。转换完成后,ValueDefi合约根据合约中总的3CRV的价值和攻击者充值的DAI数量计算mVUSD铸币的数量;
Shapeshift CEO:加密货币总市值将在六个月内翻一番:加密货币交易平台Shapeshift首席执行官Erik Voorhees 预测,加密货币总市值将在六个月内翻一番。Voorhees 今日早些时候发推表示:“加密货币市值涨至1万亿美元花费了十年。到2万亿美元,将用不到六个月的时间。”
如果到Voorhees的预测成真时,比特币仍保持其70%左右的主导地位,这将使其市值达到约1.4万亿美元,从而使比特币能够进入最大资产的前5名。(Decrypt)[2021/1/7 16:40:21]
4.攻击者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兑换USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的价格;
动态 | 瑞士SIX交易所批准第六个ETP:据bitcoin.com报道,瑞士金融科技公司Amun AG宣布已推出针对BCH的交易所交易产品(ETP)。这是瑞士SIX Exchange批准的第六个ETP。[2019/7/5]
5.攻击者在ValueMultiVaultBank合约中发起3CRV提现,此时ValueMultiVaultBank合约和第3步一样,会先将合约中的bCRV,cCRV转换成以3CRV计价,由于在第4步中,USDC/3CRV的价格已经被拉高,导致换算的过程中,ValueMultiVaultBank合约中的bCRV,cCRV能换算成更多的3CRV,也就是说使用同等份额的mVUSD可以换取更多的3CRV;
6.拿到3CRV后,攻击者到Curve的DAI/USDC/USDT池中使用3CRV换回DAI,并在Uniswap中兑换回ETH,然后归还Aave的闪电贷。
总结:由于ValueDefi合约在铸币过程中将合约资产转换成3CRV时依赖CurveDAI/USDC/USDT池中USDC/3CRV的价格,导致攻击者可以通过操控CurveDAI/USDC/USDT池中USDC/3CRV的价格来操控mVUSD/3CRV的价值,从而获利。
相关链接:
(1)分析样本:
https://etherscan.io/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。