Flurry Finance被盜事件分析：項目不立于「危墻之下」-ODAILY_ULT

北京時間2022年2月22日下午1:46，CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動，FlurryFinance的Vault合約受到攻擊，價值約29.3萬美元的資產被盜。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

攻擊步驟

①攻擊者部署了一個惡意代幣合約，并為代幣和BUSD創建了一個PancakeSwap交易對。

攻擊者：https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

阿里拍賣已終止與Conflux樹圖鏈的合作，將全部采用新版鏈進行數字藏品確權:4月13日消息，近日，有消息稱阿里拍賣已于4月10日終止與Conflux樹圖鏈合作，阿里拍賣將全部采用新版鏈進行數字藏品確權。樹圖鏈工作人員表示，確已暫停合作，系因阿里方不愿與公鏈合作。此前消息，阿里拍賣稱，數字收藏不可涉公鏈，不可C2C交易。（藍鯨財經）[2022/4/13 14:21:20]

惡意代幣合約：https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

PancakeSwap交易對：https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

基于Conflux網絡開發的創新性NFT資產交互平臺NFTBox正式版已上線:據官方消息，基于Conflux網絡開發的創新性NFT資產交互平臺正式版已上線，首批上線沈晨、楊權等國風大觸創作，其中山海經系列《四象降臨》、上古系列《華夏祖神》將開展為期兩天的拍賣活動，并帶來系列NFT合成、盲盒、質押等一系列玩法。

NFTBox目前正在打造山海經、華夏祖神及西游系列等經典IP，力求將經典、加密、藝術和玩法融入NFT當中。[2021/7/13 0:48:22]

②攻擊者從Rabbit的Bank合約中進行閃電貸，并觸發了StrategyLiquidate的execute方法。

execute方法將輸入數據解碼為LP代幣地址，并進一步得到惡意代幣合約地址。

攻擊者利用惡意代幣合約中的攻擊代碼發起初步攻擊：https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

Flux Protocol獲得1030萬美元種子輪融資 在NEAR上建設DeFi基礎設施:據CoinDesk 5月21日消息，Flux Protocol獲得1030萬美元種子輪融資，在NEAR上建設DeFi基礎設施 。[2021/5/21 22:27:30]

StrategyLiquiddate合約：https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

③惡意代幣合約調用FlurryRebaseUpkeep合約的performUpkeep方法，對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。

美國空軍與Fluree簽訂合同，將在LevelUP應用區塊鏈技術:美國空軍已經與區塊鏈初創公司Fluree簽訂一份后續合同，在新軟件網絡武器工廠LevelUP中使用其加密安全數據庫工具。Fluree聯合首席執行官Brian Platz在接受《空軍》雜志采訪時表示，這份此前未被報道的合同是在6月份簽訂。新合同的金額未披露，是美國空軍朝著將尖端但大肆宣傳的區塊鏈技術從實驗室推向戰場邁出的最新一步。

據此前報道，美國空軍在2月份表示將試驗基于區塊鏈的數據庫，獲得許可的區塊鏈分類帳來自北卡羅來納州初創企業Fluree PBC，該公司公布了與政府間的合同。（Airforcemag）[2020/7/18]

此處的multiplier將用于Rho代幣的余額計算。對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。此處的multiplier將用于Rho代幣的余額計算。該更新基于與Vault合約相關的盈利策略合約里的余額。

區塊鏈創企Fluree獲Ridgeline Ventures等戰略投資:區塊鏈創企Fluree最近宣布獲得戰略投資，達成多個企業合作伙伴關系，并且其區塊鏈集成不斷增長。Fluree從Ridgeline Ventures、Engage VC和Good Growth Capital獲得額外的戰略投資，具體金額未透露。

Fluree最近宣布與Wake Forest Digital Health Group建立戰略合作關系，涉及使用視覺分析和圖形數據庫技術建立臨床數據管理工具。Fluree與美國空軍簽訂合同，將建立一個區塊鏈支持的加密（encrypted）分布式圖形數據庫，用于安全、多領域的指揮和控制通信。

Fluree最近推出全球合作伙伴計劃，與一系列重要獨立軟件開發商（ISV）和系統集成商達成合作。此外，Fluree已與Storj.io和Zeeve平臺合作，以增強網絡DevOps功能并簡化部署。

據此前報道，3月17日，Fluree宣布完成種子輪擴展融資，投資方包括Engage，但具體金額并未披露。Fluree于去年6月完成470萬美元的種子輪融資，4490 Ventures領投，Revolution的Rise of the Rest種子基金參投。[2020/6/27]

更新是在閃電貸的過程中觸發的，此時的閃電貸還未結束，借出的金額也還未歸還，因此Bank合約的當前余額遠小于正常值。此Bank合約也是某個strategy的一部分，因而使得某strategy的余額小于正常值，進一步導致multiplier小于正常值。

FlurryRebaseUpkeep合約：https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

其中一個Vault的合約：https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

④攻擊者歸還了閃電貸的款項并完成了初步攻擊，且為進一步攻擊獲利做好了準備。

⑤在緊接著的交易中，攻擊者以前一次交易中得到的低multiplier存入代幣，將multiplier更新為更高的值，并以高multiplier提取代幣。例如，在其中一筆初步攻擊的交易中，multiplier被更新為4.1598e35。

在進一步攻擊的交易中multiplier被更新為4.2530e35。

攻擊實例：https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

⑥因為multiplier乘數是決定Rho代幣余額的因素之一：

攻擊者的Rho代幣余額在交易中增加了，所以ta能夠從Vault中提取更多的代幣。

⑦攻擊者多次重復這一過程，從Vault合約中盜走了價值29.3萬美元的資產。

寫在最后

該次事件主要是由外部依賴性引起的。

因此CertiK的安全專家建議：項目在與外部合約交互之前應對其安全性有清晰的認知，并且限制外部依賴可能對自身合約的影響。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

Tags：ULTFLURRESTIPwaultswap幣充提FLUR幣MetaLand SharesMultiPlanetary Inus

比特幣最新價格