買比特幣 買比特幣
Ctrl+D 買比特幣
ads

USD:不再安全的TWAP預言機?VesperFi Fianance被黑事件分析 -ODAILY_SWAP

Author:

Time:1900/1/1 0:00:00

前言

11月3日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊,損失超300萬美元。

知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

攻擊流程簡析

攻擊分為兩部分:

第一部分:攻擊階段

交易哈希:0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻擊者向pool添加(VUSD對USDC為無窮大)的0.1USDC流動性

加拿大央行領導數字貨幣工作的副行長將不再尋求第二任期:金色財經報道,加拿大央行周四宣布,領導數字貨幣工作的Carolyn Wilkins將不再擔任高級副行長一職。[2020/9/19]

2.攻擊者通過Swap用232kUSDC兌換走pool內正常的222kVUSD流動性

神馬楊作興不再擔任深圳比特微法人 吳鋼王純神魚等董事退出:神馬礦機所在的公司深圳比特微電子科技有限公司8月21-23日發生了人員調整,法定代表人從楊作興變更為陽金容,吳鋼、王純、神魚等6名董事退出。需要注意的是,法人不等于實際控制人,神馬礦機內地子公司的母公司為研極科技(香港)有限公司,預計實際控制人仍為創始人楊作興,董事會也以母公司為準。(吳說區塊鏈)[2020/8/24]

公告 | BitMEX:3月12日起不再支持api-nonce標頭:3月5日,BitMEX官方微博發布消息:作為我們的API和交易系統架構的持續簡化的一部分,從2019年3月12日星期二開始,系統將不再支持api-nonce標頭。在驗證的時候,BitMEX不會檢查增加的nonce。nonce方案對于生成API身份驗證的簽名仍然有效。由于TLS,用戶的請求仍然可以免受重放攻擊。[2019/3/5]

第二部分:套利階段

交易哈希:0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通過Swap將222kVUSD兌換為2205MMfVUSD

英偉達首席執行官:高估市場需求 短期內不再推出新GPU:據CCN消息,根據GadgetNow 6月20日的報告,英偉達(Nvidia)首席執行官黃仁勛表示,在高估了加密貨幣礦工的需求后,該公司“在很長一段時間內不會推出任何新的GPU”。[2018/6/21]

2.將2205MM抵押置換成其他pool基礎代幣

攻擊原理分析

1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?

解決這個問題首先我們要知道UniswapV3使用的預言機為TWAP類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在TWAP獲取價格的時間周期中。

所以在黑客已經完成攻擊后,他并沒有基于兌換手中的VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段10塊高后。

攻擊交易哈希:

套利交易哈希:

2.至于添加流動性和兌換流動性得到解釋在UniswapV3中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。

因此添加過高的流動性可以讓TWAP發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓TWAP發現前一步驟以及套利。

總結

本次安全事件的主角雖然是\nVesperFiFianance,但是更讓人關心的是UniswapV3的TWAP預言機是否依然安全,可以觀察到并非TWAP\n預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許\npool內單個代幣不合理的流動性被設置。

知道創宇區塊鏈安全實驗室在此提醒,任何有關資金問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:USDNCESWAPVUSDANONUSD價格Boosted Finance幣圈swapVUSD幣

比特幣價格今日行情
CHX:【Deribit期權市場播報】0925——風暴將至-ODAILY_chx幣今日最新消息

播報數據由Greeks.liveDataLab格致數據實驗室和Deribit官網提供。季度交割比較平靜,昨天是最近為數不多交割在最痛點位的大交割日.

1900/1/1 0:00:00
ENS:超話社區132期 | Portal:Layer2+跨鏈 DEX,將 DeFi 引入比特幣-ODAILY_PORTAL

12月7日晚上8點,Odaily星球日報邀請到了PORTALCo-FounderGeorgeBurke&B21CapitalPartnerHanson為我們帶來分享:Portal|Lay.

1900/1/1 0:00:00
AAB:AAX學院詳解游戲行業應該如何擁抱加密貨幣-ODAILY_NFTNDR

區塊鏈和游戲是一個很好的組合,可以為開發者和玩家創造價值,尤其游戲行業一直因商業模式和做法可疑而備受詬病.

1900/1/1 0:00:00
EFI:我們離波卡生態應用爆發還有多遠,又該如何破局?-ODAILY_World of Defish

Polkadot生態研究院出品,必屬精品大概一周前Kusama的第15個平行鏈插槽Auction結束,這意味著Kusama的第三批插槽的4次Auction已經全部結束,第四批次插槽也順勢開啟.

1900/1/1 0:00:00
MESH:微軟CEO:元宇宙將把現實世界帶入任何數字空間-ODAILY_Blockify.Games

出品|白澤研究院 微軟的首席執行官薩蒂亞·納德拉(SatyaNadella)在昨日的微軟Ignite會議上表示,微軟將探索元宇宙技術,并加入這個有著一系列其他大牌品牌和企業的數字世界.

1900/1/1 0:00:00
POS:一文了解波卡的Staking機制是怎樣的?-ODAILY_UNISTAKE

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
ads