買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Coinw > Info

TPS:一個小數點造成數百萬美元蒸發,Fantasm Finance攻擊事件分析_CHTT價格

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

美聯儲主席:穩定幣需要一個適當的監管框架:美聯儲主席鮑威爾表示,希望就央行數字貨幣公開征求意見,數字貨幣面臨的風險是真實存在的。穩定幣需要一個適當的監管框架。穩定幣就像貨幣市場基金和其他方面的投資,但沒有受到監管。穩定幣需要以類似貨幣市場和銀行存款的方式進行監管。 (金十)[2021/7/15 0:52:58]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

聲音 | 國務院發展研究中心陳道富:基于銀行帳戶的效率、卡的效率和區塊鏈的效率不在一個維度:據財經網報道,7月7日,在以“財富助力航運貿易金融創新”為主題的2019中國財富論壇上,國務院發展研究中心金融研究所副所長陳道富表示,我們發現支付系統經常講降維打擊,這種支付系統在頂層設計、未來的技術研究方向,對支付系統具有決定作用,你是基于卡的或者基于區塊鏈技術的,分布式記賬的,說白了賬戶以什么樣的效率怎么樣進行驗證,怎么樣實現大家對這個賬戶的信任,是這種支付體系運轉的效率非常重要的一個關鍵。原先基于銀行帳戶的效率跟基于卡的效率跟基于區塊鏈的效率,你會發現不是一個維度上面的。

Libra把幣種之間的轉換,把跨國之間的這種驗證,非常多鏈條驗證的這種問題很高效率的解決了,一旦這個東西推出來以后,原來所謂的安全就不存在了,它瞬間會替代所有的東西。我認為libra是數字資產,數字貨幣和支付體系,應該從這三個來看。對于Libra來說,試圖來提高它流通的可能性,它現在需要的是引入更多的實體場景,使它更加有用,它在占領這個支付系統、支付的場景,毛細血管跟最后這種大血管。[2019/7/7]

③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。

聲音 | 東方證券:加密貨幣數量近一個月持續小幅減少 一級市場獲投項目數量處于相對低位:東方證券周報(2018.11.05~2018.11.18)顯示,截至11月18日全球加密數字貨幣2081種,近一個月內持續小幅減少,交易市場則持續增加至接近1.6萬個。比特幣依然占據主導地位,市值占比53.4%,以太坊市值占比10%,被瑞波幣超越。在過去兩周內企名片收錄國內外區塊鏈相關投融資項目23個,其中國內11個。從融資階段來看絕大多數處于早期,其中戰略融資、天使輪、種子輪占比超過8成。在全部23個獲投項目中,數字貨幣交易平臺占比最大且主要分布在國外地區。[2018/11/22]

④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。

諾貝爾經濟學獎獲得者羅伯特·席勒:比特幣是一個“有趣的實驗”:在談及比特幣時,席勒表示:比特幣是一個“有趣的實驗”。“比特幣是另一個非常聰明的想法,我對這個技術印象深刻,但是在我看來,這是另一種技術。我傾向于認為比特幣是一個有趣的實驗,我們應該將關注點擴大到區塊鏈及其他應用程序,而且事實上,比特幣的使用率不高。”[2018/1/27]

在函數calcMint中,合約使用以下公式來計算鑄幣量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

參考鏈接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags:CERTPSHTTANCcere幣總量https://etherscan.ioCHTT價格Dogepad Finance

Coinw
Zebec:Zebec (ZBC)_GABECOIN

項目名稱:Zebec(ZBC)項目概況:Zebec是一項革命性的DeFi技術,可實現實時、無摩擦和連續的支付流.

1900/1/1 0:00:00
以太坊:薩爾瓦多比特幣債券即將推出,市場情緒「喜憂參半」_李笑來10萬比特幣花了多少錢

本文來自BeInCrypto,原文作者:DavidThomasOdaily星球日報譯者|念銀思唐在薩爾瓦多,比特幣債券即將到來的發行在很大程度上依賴于散戶投資者.

1900/1/1 0:00:00
TAL:星球日報 | Yuga Labs將開啟虛擬土地銷售;MetaMask將推出DAO并發行Token(3月16日)_PIT

頭條 外媒:BAYC母公司YugaLabs將開啟虛擬土地銷售,并推出MetaRPG游戲及APECoin據Theblock報道,BAYC母公司YugaLabs將于今年開啟虛擬土地銷售.

1900/1/1 0:00:00
OLO:DAOrayaki:MolochDAO 2021年度報告_LOC

原文作者:?MolochDAO原文標題:?MOLOCHDAOANNUALREPORT2021 背景 2021年回顧 MolochDAO網絡/生態系統概述 贈款策略 MolochDAO—未來展望M.

1900/1/1 0:00:00
POS:以太坊基金會:Kiln合并測試網已上線,預計將于本周全面過渡到PoS_ETH

原文來源:EthereumFoundation 原文編輯:南風 Kintsugi合并測試網已于2021年12月底推出,該測試網是一個有價值的合并(TheMerge)測試場.

1900/1/1 0:00:00
HTT:XT.COM關於暫停CELO充提的公告_tps幣行情

尊敬的XT.COM用戶:CELO節點升級維護,XT.COM現已暫停CELO充值與提幣業務。給您帶來的不便,請您諒解.

1900/1/1 0:00:00
ads