本文由Certik原創,授權金色財經首發。
北京時間2022年4月28日10:40:14 ,CertiK審計團隊監測到DEUS Finance的合約被惡意攻擊,造成了約1570萬美元(折合人民幣約1.03億)的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]
攻擊步驟
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。
據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]
②隨后攻擊者利用攻擊合約獲得了超過143,200,000 USDC用以發起攻擊。
③攻擊合約將這143,200,000 個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池(DeiLenderSolidex)中總計借貸到17,246,885 DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個 DEI交換到的143,184,725 USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH(總價值約1570萬美元)存入Tornado Cash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
使用時間加權平均價格(TWAP)。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
原文標題:《EVM Equivalence》EVM 等效性的設計理念是創建與以太坊有著「最小差異」的 Optimistic Rollup。?EVM 等效性將以太坊的屬性擴展到了 L2s 網絡.
1900/1/1 0:00:00Lido 和火箭池都準備成為流動性質押熱潮中的主要受益者。編者按:ETH2.0合并是一個對以太坊來說很重要里程碑式的升級,從PoW轉為PoS。以下文章內容僅供參考,非投資建議.
1900/1/1 0:00:00誰能想到,馬斯克收購 Twitter 的節奏,比拿破侖攻破巴黎還要快。 如果回到那個傳訊還靠賣報小弟吆喝的年代,估計街頭小報要被這出一天一個樣的快節奏「商業爽劇」逼瘋.
1900/1/1 0:00:002022年5月9日下午,國家信息中心與中國移動通信集團有限公司在北京舉行戰略合作框架協議簽署儀式。國家發展改革委黨組成員、副主任叢亮,中國移動通信集團有限公司黨組書記、董事長楊杰出席簽約儀式.
1900/1/1 0:00:00自 2020 年夏天以來,DeFi 生態系統一直在試驗漸進式去中心化——即基于代幣的初創公司的創始團隊隨著時間的推移,放棄對其網絡的控制權的過程。當然,這一過程的關鍵是代幣的分配.
1900/1/1 0:00:00過去一周,OpenSea 上的以太坊域名服務 NFT 銷售額飆升了近 2300%,因為用戶爭相購買非常稀有的三位數和四位數域名.
1900/1/1 0:00:00