BTC/HKD+0.47%
ETH/HKD-0.43%
LTC/HKD+0.08%
DOT/HKD+3.42%
ADA/HKD+1.34%
SOL/HKD-1.74%
XRP/HKD-0.27%
DOGE/US+0.69% 
北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
加密研究員:Jump Trading可能通過操縱Pyth喂價阻止鏈上倉位被清算:11月27日消息,加密貨幣和金融研究員FatMan發推表示,對做市商Jump Trading產生質疑,認為其有可能通過操縱Pyth預言機喂價阻止某些鏈上倉位被清算,甚至表示有Jump員工透露數月前Jump有意使用Pyth狙擊散戶倉位。[2022/11/28 21:05:32]
攻擊步驟
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。
分析 | 比特幣兩年前漲破2萬美元是一個匿名玩家人為操縱的結果:金色財經報道,11月5日消息,一項針對2017年比特幣牛市的司法鑒定研究發現,這種數字貨幣當時的暴漲幾乎完全可歸因于“一個大玩家”,盡管該市場操縱者的身份仍未得到確認。德克薩斯大學和俄亥俄州立大學的金融學教授格里芬(John Griffin)和沙姆斯(Amin Shams)分別分析了文件大小超過200G的比特幣和另一種數字貨幣tether幣之間的交易歷史數據。后者是一種被稱為“穩定資產”的資產,其交易價值與美元掛鉤。格里芬和沙姆斯能夠根據這些數據找到一個來源:“在Bitfinex交易所注冊的一個大賬戶。研究發現,通過Bitfinex,單個玩家能夠通過“極致”的Tether流動來操縱對比特幣的需求。《華爾街日報》(The Wall Street Journal)周一首先報道了最新研究結果。該研究確認,在2017年底比特幣升至近2萬美元的歷史高點之際,比特幣遭到了人為操縱。[2019/11/5]
③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
聲音 | Crypto Integrity報告: 一些交易所2月份交易量高達88%屬人為操縱:據The Block消息,Crypto Integrity近日發布的一份報告顯示,通過分析所選定的流動交易對的實際訂單量,發現2月份報告的交易量中,在一些交易量最高的交易所,高達88%的交易量是人為操縱。Crypto Integrity預估,在一些流動性低的交易對中,這種比例則高達100%。[2019/3/12]
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
Tags:DEI比特幣FINETHBRIGADEIRO價格十年比特幣動態走勢圖Not Financial Adviceusepeerethereum
瑞士加密貨幣行業著力解決勞動力短缺問題保羅·阿爾多伊諾(PaoloArdoino)是泰達及其姊妹公司Bitfinex加密貨幣交易所的首席技術官.
1900/1/1 0:00:00格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下受邀參與的紀錄片《AligningTheFuture》中英字幕完整版已正式上線.
1900/1/1 0:00:00本文由英文版翻譯而來,英文原版點擊這里OrcaforEveryone是由Orca背后團隊提供的進入DeFi世界的指導書,Orca是Solana上最用戶友好的數字貨幣交易所.
1900/1/1 0:00:002022年3月27日,以太坊上的stakingDeFi項目RevestFinance遭到黑客攻擊,損失約200萬美元.
1900/1/1 0:00:00特別感謝Zeo、DAOctor、Zhengyu、Christina的貢獻、審閱和反饋。構建知識結構數據庫和更好地可視化知識是推進計算機科學、人工智能和Web的重要任務.
1900/1/1 0:00:00美國司法部在2022年2月的一份聲明中宣布,在控制了被盜資金的錢包后,它已成功扣押了2016年對加密交易所Bitifinex的黑客攻擊中流失的大部分比特幣.
1900/1/1 0:00:00
以太幣交易所
