TPS:一個小數點造成數百萬美元蒸發，Fantasm Finance攻擊事件分析_CHTT價格

北京時間2022年3月9日21:50，CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣，并將其交易為ETH，總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

美聯儲主席：穩定幣需要一個適當的監管框架:美聯儲主席鮑威爾表示，希望就央行數字貨幣公開征求意見，數字貨幣面臨的風險是真實存在的。穩定幣需要一個適當的監管框架。穩定幣就像貨幣市場基金和其他方面的投資，但沒有受到監管。穩定幣需要以類似貨幣市場和銀行存款的方式進行監管。 （金十）[2021/7/15 0:52:58]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

②在第一個tx中，攻擊者將Fantom代幣(FTM)換成FSM代幣，并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

聲音 | 國務院發展研究中心陳道富：基于銀行帳戶的效率、卡的效率和區塊鏈的效率不在一個維度:據財經網報道，7月7日，在以“財富助力航運貿易金融創新”為主題的2019中國財富論壇上，國務院發展研究中心金融研究所副所長陳道富表示，我們發現支付系統經常講降維打擊，這種支付系統在頂層設計、未來的技術研究方向，對支付系統具有決定作用，你是基于卡的或者基于區塊鏈技術的，分布式記賬的，說白了賬戶以什么樣的效率怎么樣進行驗證，怎么樣實現大家對這個賬戶的信任，是這種支付體系運轉的效率非常重要的一個關鍵。原先基于銀行帳戶的效率跟基于卡的效率跟基于區塊鏈的效率，你會發現不是一個維度上面的。

Libra把幣種之間的轉換，把跨國之間的這種驗證，非常多鏈條驗證的這種問題很高效率的解決了，一旦這個東西推出來以后，原來所謂的安全就不存在了，它瞬間會替代所有的東西。我認為libra是數字資產，數字貨幣和支付體系，應該從這三個來看。對于Libra來說，試圖來提高它流通的可能性，它現在需要的是引入更多的實體場景，使它更加有用，它在占領這個支付系統、支付的場景，毛細血管跟最后這種大血管。[2019/7/7]

③攻擊者調用collect()函數，以此鑄造了超出權限更多的XFTM代幣。

聲音 | 東方證券：加密貨幣數量近一個月持續小幅減少 一級市場獲投項目數量處于相對低位:東方證券周報（2018.11.05~2018.11.18）顯示，截至11月18日全球加密數字貨幣2081種，近一個月內持續小幅減少，交易市場則持續增加至接近1.6萬個。比特幣依然占據主導地位，市值占比53.4%，以太坊市值占比10%，被瑞波幣超越。在過去兩周內企名片收錄國內外區塊鏈相關投融資項目23個，其中國內11個。從融資階段來看絕大多數處于早期，其中戰略融資、天使輪、種子輪占比超過8成。在全部23個獲投項目中，數字貨幣交易平臺占比最大且主要分布在國外地區。[2018/11/22]

④攻擊者多次重復步驟②和③，造成FantasmFinance巨額損失。

諾貝爾經濟學獎獲得者羅伯特·席勒：比特幣是一個“有趣的實驗”:在談及比特幣時，席勒表示：比特幣是一個“有趣的實驗”。“比特幣是另一個非常聰明的想法，我對這個技術印象深刻，但是在我看來，這是另一種技術。我傾向于認為比特幣是一個有趣的實驗，我們應該將關注點擴大到區塊鏈及其他應用程序，而且事實上，比特幣的使用率不高。”[2018/1/27]

在函數calcMint中，合約使用以下公式來計算鑄幣量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤，導致_xftmOut最終的值遠遠大于代碼的設計初衷。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計，這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞，往往會認為漏洞必然是很復雜的，其實并非總是如此。有時一個小小的計算錯誤，就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

參考鏈接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags：CERTPSHTTANCcere幣總量https://etherscan.ioCHTT價格Dogepad Finance

Coinw