北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
外媒:STMX疑似遭市場操縱,幣安客服代表稱之為“突發事件”:7月23日消息,加密貨幣返現項目StormX的代幣STMX似乎經歷了市場操縱,幣安客戶服務代表@sisibinance大概2小時前在推特上表示:“關于$STMX合約的突發事件,相關團隊正在緊急處理中,稍后有進一步信息會和大家同步,目前請大家進在線客服填寫申訴單”。
@sisibinance和StormX都沒有立即回應置評請求。[2023/7/23 15:53:35]
攻擊步驟
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
美SEC指控一美國公民操縱MNGO代幣并竊取1.16億美元的加密資產:1月21日消息,美國證券交易委員會(SEC)周五向曼哈頓聯邦地區法院提起訴訟,指控 Avraham Eisenberg 通過操縱Mango Markets 的治理代幣 MNGO 竊取了 1.16 億美元的加密資產。指控 Eisenberg 違反了證券法的反欺詐和市場操縱規定,并尋求永久禁令救濟、基于行為的禁令、沒收財產和判決前利息以及民事處罰。Eisenberg是一名 27 歲的美國公民,他在波多黎各 MDC Guaynabo 被捕并被拘留,正在等待轉運到紐約南區,在那里他將面臨司法部和商品期貨交易委員會(CFTC)提出的刑事和民事指控。[2023/1/21 11:25:13]
②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。
動態 | 美國證券交易委員會指控VERI代幣涉嫌欺詐及操縱市場:據美國證交會官網消息,美國證交會對自稱“金融大師”的Reginald \" Reggie \" Middleton以及他控制的兩家公司Veritaseum, Inc.和Veritaseum, LLC提出了指控,稱該兩家公司涉嫌欺詐計劃向投資者出售數字證券并操縱這些證券的市場。8月12日,法院進入緊急凍結狀態,以在2017年和2018年兩名被告通過發行數字證券籌集的1480萬美元中,至少保留800萬美元。 該委員會向紐約布魯克林的聯邦法院提起訴訟,指控被告在互聯網上銷售被稱為“VERI”代幣的證券,誘使散戶投資者基于多重重大虛假陳述和遺漏進行投資。此外,被告涉嫌故意誤導投資者關于他們之前的商業風險和發行收益的使用,吹噓投資者對VERI的需求過大(但純屬虛構),并聲稱有一種產品可以在不存在此類產品的情況下產生收入。起訴書進一步指控,Middleton操縱了VERI代幣在一個未經注冊的數字資產平臺上交易的價格。起訴書還稱,Middleton最近轉移了大量投資者資產,然后將其中一部分資產轉移到Middleton的個人賬戶。[2019/8/22]
③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
雖然在早期,Cardano生態因不支持智能合約,使其在DeFi等板塊上的發展,與其他公鏈的差距越來越大,但在2021年下半年,Cardano終于迎來了Alonzo升級.
1900/1/1 0:00:00撰文:楊樹 鏈上世界里,巨鯨地址的每一次大額轉賬,都可能導致二級市場的腥風血雨;持倉大戶背后抽絲剝繭的資金網絡,也往往能夠挖掘出早期的財富密碼.
1900/1/1 0:00:002022年2月22日,LunarCrush的2月22日ALTrank排名中,WMT榮登榜首,LunarCrush一直專注于“用社交網絡監控加密貨幣”.
1900/1/1 0:00:00DAO與元宇宙 許多個體在社交應用程序和區塊鏈中集體組織起來,以便追求共同目標和利益,這一過程中形成的去中心化自治組織通常被稱為DAO.
1900/1/1 0:00:00北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜.
1900/1/1 0:00:00波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察。本文旨在提供信息和觀點,不為任何項目作背書.
1900/1/1 0:00:00