以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

首發 | 操縱預言機就能空手套白狼?DEUS Finance DAO被盜1570萬美元攻擊事件分析_DEI

Author:

Time:1900/1/1 0:00:00

本文由Certik原創,授權金色財經首發。

北京時間2022年4月28日10:40:14 ,CertiK審計團隊監測到DEUS Finance的合約被惡意攻擊,造成了約1570萬美元(折合人民幣約1.03億)的損失。

攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。

漏洞交易https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

攻擊步驟

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]

①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。

②隨后攻擊者利用攻擊合約獲得了超過143,200,000 USDC用以發起攻擊。

首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后,比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉,螞蟻礦機S17真機圖今天在網上首次曝光。

從曝光的圖片來看,螞蟻礦機S17延續上一代產品S15的雙筒風扇設計,且采用一體機的機身設計。有業內人士認為,采用雙筒設計可有效縮短風程,礦機出入風口的溫差變小,機器性能將得到很大改善。

此前比特大陸產品負責人在接受媒體采訪時表示,新品S17較上一代產品相比,無論是在能效比還是單位體積的算力等方面,均有較大提升。[2019/4/3]

③攻擊合約將這143,200,000 個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。

④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池(DeiLenderSolidex)中總計借貸到17,246,885 DEI,這一數額遠大于之前攻擊者提供抵押的金額。

⑤攻擊者用9,547,716個 DEI交換到的143,184,725 USDC來償還閃電貸款,最終獲取差價離場。

漏洞分析

通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。

資產去向

截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH(總價值約1570萬美元)存入Tornado Cash。

https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history 

寫在最后

預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。

CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:

使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。

使用時間加權平均價格(TWAP)。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。

如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。  

閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。 

Tags:DEIFILMKEYFILEBRIGADEIRO幣FILDAimkeypro教程Filecoin幣

幣贏交易所
NFT許可證:創作者在制作NFT時如何合法地保護他們的知識產權?_NFT

來源公號:老雅痞 到2021年底,全球娛樂業的估值超過997億美元,而如今全球娛樂業已經開始涉足NFT了,畢竟NFT是當今文娛產業最新的收入來源.

1900/1/1 0:00:00
一文看懂GUCCI的元宇宙營銷_UCC

隨著元宇宙的大熱,與其相關的概念與營銷玩法受到了品牌的追捧,并讓元宇宙變成了營銷、資本等各個領域的熱門話題,想要在傳播方式、交互方式和互動性方面實現突破的品牌.

1900/1/1 0:00:00
STEPN 爆火后 還有 12 款同類型的 Move to Earn 項目可以關注_STE

隨著 Move to Earn 模式的盛行,STEPN 已成為 2022 年一季度加密市場上最火爆的應用.

1900/1/1 0:00:00
服裝巨頭進軍元宇宙 網友:不就是QQ秀?_元宇宙

原標題:進軍元宇宙!服裝巨頭“大動作”,來虛擬世界玩穿搭!網友:不就是QQ秀?近日,知名服裝連鎖品牌ZARA進軍元宇宙又曝大動作,已聯手虛擬時尚社交平臺ZEPETO.

1900/1/1 0:00:00
金色早報 | 比特幣正式進入第三個減半周期的后半段_加密貨幣

頭條 ▌比特幣正式進入第三個減半周期的后半段金色財經報道,比特幣的減半每四年發生一次。每次減半后,BTC的供應率會下降50%,該系統將持續到大約2140年,即最后一個比特幣被開采出來.

1900/1/1 0:00:00
?NFT創作者需要了解的9大必備工具_NFT

用一系列工具,使創建和鑄造NFT變得輕而易舉。從CRM系統到電子商務平臺和移動應用程序,各行各業的企業都前所未有地依賴于數字技術.

1900/1/1 0:00:00
ads