前言
北京時間4月28日,Fantom平臺DEUS協議又一次遭到攻擊,損失約1340萬美元,知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
分析
基礎信息
攻擊tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
BendDAO社區正對“DAO金庫參與拍賣以解決浮虧”的提案進行投票:7月3日消息,Snapshot投票頁面顯示,NFT抵押借貸協議BendDAO社區正對“DAO金庫參與拍賣以解決浮虧”的提案進行替他,目前支持率達100%,將于7月6日結束。
根據該提案,利用BendDAO金庫不僅可以提供資金來彌補浮動損失,還可以證明DAO與其用戶的一致性。通過以這種方式利用金庫資金,DAO可以強調其與社區成員(尤其是目前的ETH儲戶)的一致性,并努力與用戶和更廣泛的NFT行業建立更牢固的關系。[2023/7/3 22:14:50]
攻擊合約:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
加密平臺Earnity聘請前OK Group高管Steven Yee擔任其首席運營官:7月23日消息,加密平臺Earnity已聘請Steven Yee擔任其首席運營官,旨在使加密貨幣更容易理解,更容易訪問和更安全。Steven Yee此前是OK Group的首席客戶和風險官,他創建了該公司的全球運營部門,并設計了其全球風險管理程序。(Blockworks)[2022/7/23 2:32:29]
攻擊者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
Kusama 197號公投正式執行,USDT可在Kusama生態中自由流通:5月25日凌晨1點左右,Kusama的197號公投正式執行,Tether在Statemine上已經注冊了USDT,資產ID為1984。該議案將Tether團隊在Statemine發行的USDT資產定義為充足的(Sufficient)資產。這樣Tether就可以支付交易手續費,并且所有持有、接受、發送USDT的用戶(Statemine賬戶)就不用必須持有最低KSM余額來使用USDT,用戶從現在開始可以自由在Statemine上轉移USDT,接下來會有更多平行鏈將USDT接入到自己的DeFi場景。(PolkaWorld)[2022/5/25 3:40:00]
攻擊流程
1、從StableV1AMM多個包含USDC的交易對中,閃電貸共借出143,200,000USDC;
2、143,200,000USDC兌換為9,547,716DEI,抬高了交易對中DEI的價格;
3、71,436DEI作為抵押品,借出17,246,885DEI;
4、9,547,716DEI兌換回143,184,725USDC,USDC/DEI交易對價格回復正常;
5、歸還閃電貸。
漏洞原理
問題根源在于Oracle喂價合約中,價格計算取決于交易對的余額數量,容易通過閃電貸操縱
總結
此次攻擊事件的核心在于用于喂價的預言機合約的定價機制存在缺陷,僅通過交易對的代幣余額計算而來,容易被閃電貸操縱。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
伴隨著DeFi的繁榮,加密數據分析的市場也方興未艾。已實現對一個DeFi項目的初步解析。筆者在使用諸多分析工具后,整理了比較好用的,且市面上推薦度比較高的五類DeFi數據分析工具:看DeFiTo.
1900/1/1 0:00:00自2017年以來,傳統金融開始了解區塊鏈技術的各種不同用例,除了提供改善金融交易和財富所有權的解決方案之外,還探索了產生社會影響力的應用程序.
1900/1/1 0:00:00Solidity事件對于智能合約開發者來說是不可或缺的,它允許我們對智能合約中特定變量進行測試,以自動化的方式改變前端等.
1900/1/1 0:00:00Tether在波場網絡上新增印鈔10億枚USDT波場網絡補充了10億枚USDT的庫存。這是一筆已授權但未發行的交易該金額將用作下一次發行請求和鏈互換的庫存.
1900/1/1 0:00:00智能合約生態正在朝著多鏈方向發展,區塊鏈的應用不再局限于某一個網絡,而是跨越各個去中心化賬本,共同形成了一個生態。其中每條區塊鏈都有自己獨特的價值主張和技術特點.
1900/1/1 0:00:00最近,科技、加密貨幣和風險投資領域都熱衷于討論一個流行詞匯,而且當今的對話中充滿了這個詞,甚至如果你不把它添加到你的Twitter個人簡介里,就說明你不關心未來,這個詞就是Web3.
1900/1/1 0:00:00