北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。
攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。
下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
交易所ETH流入量創近一個月新低:金色財經報道,Glassnode數據顯示,交易所ETH流入量在過去的一小時(7日均值)達到11,561,346.25枚ETH,創近一個月以來新低。[2022/12/22 22:01:45]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
攻擊步驟
①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。
“shib會是下一個狗狗幣嗎“登上知乎熱搜榜第二名:知乎熱搜榜顯示,“shib”登上知乎熱搜榜,目前“shib會是下一個狗狗幣嗎“以1532萬熱度位居熱搜榜第二名。[2021/5/9 21:41:09]
②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。
③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。
④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。
漏洞分析
前PayPal和Intuit公司CEO:比特幣是一個巨大的騙局:美國金融科技界傳奇人物、Personal Capital創始人、前PayPal和Intuit公司CEOBill Harris周二表示,比特幣是一個巨大的“拉高出貨”騙局,其規模之大前所未見。他表示,這一騙局的“輸家是那些信息不靈通的買家,大量財富從普通家庭轉移到互聯網推手手中。”[2018/4/25]
在函數calcMint中,合約使用以下公式來計算鑄幣量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
Chain CEO:比特幣是金融的一個重置按鈕:據coindesk消息,Chain CEO Adam Ludwin在Synchronize 2018會議上說:“比特幣是金融的一個重置按鈕。我們有互聯網,我們只需再添加一些代碼,然后再回到錢。智能合約就是下一步。”[2018/4/20]
由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。
資金去向
攻擊者可因此獲取大約1000個ETH,所有的資金均被轉移至Etherscan并被發送到tornadoproxy。
寫在最后
本次事件主要是由合約公式計算錯誤引起的。
只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。
在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。
除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
參考鏈接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
Tags:CERTPSHTTERTSOCCERhttps://etherscan.iohtt幣價格今日行情liberty幣1978
在《Azuki:日本動畫與Web3.0后民族身份特征》一文中,我從Azuki作為日本動畫的一個延續的角度,闡述了Web3.0的去中心化理念與日本科幻動畫里的虛擬世界相互呼應的原因.
1900/1/1 0:00:00Odaily星球日報譯者|Moni STEPN是一款基于Solana區塊鏈的“邊動邊賺”NFT手游,通過融合DeFi.
1900/1/1 0:00:00缺口是指資產價格在快速變動過程中,由于一段價格區間內沒有產生任何交易而產生的一種價格跳空現象,顯示在K線圖上,就是一個真空區域,這片真空區域就被稱為“缺口”,或者“跳空”.
1900/1/1 0:00:00跌!跌!跌!俄烏戰爭,好像飛機大炮轟炸的是我們的各種金融資產賬戶。NFT全球交易額更是跌到了冰點,據數據顯示2022年1月NFT月度交易額突破44億美金,日均交易額達1.43億美金,活躍買家數量.
1900/1/1 0:00:002022年2月9日,WorldMobile與FulhamFC合作,在倫敦和桑給巴爾的新聯網學校為教師舉辦互聯網安全講座.
1900/1/1 0:00:00“Crema正在接管Solana的流動性空間。”加密KOLCryptoMonarch如此說道,作為僅正式上線2個月的流動性協議,Crema在4月份成為了Solana生態中TVL增速最快的DeFi.
1900/1/1 0:00:00