SDT:重蹈覆轍？為何DEUS協議再受攻擊-ODAILY_泰達幣USDT發行

前言

北京時間4月28日，Fantom平臺DEUS協議又一次遭到攻擊，損失約1340萬美元，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx：0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

BendDAO社區正對“DAO金庫參與拍賣以解決浮虧”的提案進行投票:7月3日消息，Snapshot投票頁面顯示，NFT抵押借貸協議BendDAO社區正對“DAO金庫參與拍賣以解決浮虧”的提案進行替他，目前支持率達100%，將于7月6日結束。

根據該提案，利用BendDAO金庫不僅可以提供資金來彌補浮動損失，還可以證明DAO與其用戶的一致性。通過以這種方式利用金庫資金，DAO可以強調其與社區成員（尤其是目前的ETH儲戶）的一致性，并努力與用戶和更廣泛的NFT行業建立更牢固的關系。[2023/7/3 22:14:50]

攻擊合約：0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C

加密平臺Earnity聘請前OK Group高管Steven Yee擔任其首席運營官:7月23日消息，加密平臺Earnity已聘請Steven Yee擔任其首席運營官，旨在使加密貨幣更容易理解，更容易訪問和更安全。Steven Yee此前是OK Group的首席客戶和風險官，他創建了該公司的全球運營部門，并設計了其全球風險管理程序。（Blockworks）[2022/7/23 2:32:29]

攻擊者：0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb

Kusama 197號公投正式執行，USDT可在Kusama生態中自由流通:5月25日凌晨1點左右，Kusama的197號公投正式執行，Tether在Statemine上已經注冊了USDT，資產ID為1984。該議案將Tether團隊在Statemine發行的USDT資產定義為充足的（Sufficient）資產。這樣Tether就可以支付交易手續費，并且所有持有、接受、發送USDT的用戶（Statemine賬戶）就不用必須持有最低KSM余額來使用USDT，用戶從現在開始可以自由在Statemine上轉移USDT，接下來會有更多平行鏈將USDT接入到自己的DeFi場景。（PolkaWorld）[2022/5/25 3:40:00]

攻擊流程

1、從StableV1AMM多個包含USDC的交易對中，閃電貸共借出143,200,000USDC；

2、143,200,000USDC兌換為9,547,716DEI，抬高了交易對中DEI的價格；

3、71,436DEI作為抵押品，借出17,246,885DEI；

4、9,547,716DEI兌換回143,184,725USDC，USDC/DEI交易對價格回復正常；

5、歸還閃電貸。

漏洞原理

問題根源在于Oracle喂價合約中，價格計算取決于交易對的余額數量，容易通過閃電貸操縱

總結

此次攻擊事件的核心在于用于喂價的預言機合約的定價機制存在缺陷，僅通過交易對的代幣余額計算而來，容易被閃電貸操縱。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：USDSDTUSDTDAOTUSDB價格泰達幣USDT發行usdt幣交易怎么玩makerdao怎么讀

Gateio