前言
北京時間2022年6月16日,知道創宇區塊鏈安全實驗室?監測到以太坊鏈上借貸項目InverseFinance因預言機設計問題被攻擊,損失約77BTC。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
被攻擊預言機合約:0xe8b3bc58774857732c6c1147bfc9b9e5fb6f427c
攻擊者地址:0x7b792e49f640676b3706d666075e903b3a4deec6
納斯達克加密指數重返1200點上方,創過去三周新高:金色財經報道,納斯達克加密指數(nasdaq crypto index)重返1200點上方,創過去三周新高,本文撰寫時為1203.04點。[2022/10/26 16:38:47]
攻擊合約:0xf508c58ce37ce40a40997c715075172691f92e2d
tx:0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c
漏洞分析
與大部分預言機事件一樣,項目方由于在預言機實現過程中過度依賴某一池子內的價格進行定價。導致攻擊者可操控該分布式池子的代幣比例導致價格控制進而攻擊協議。
Curve上stETH與ETH兌換比例跌至1:0.9347,流動性池比例已嚴重傾斜:6月16日消息,據Curve頁面顯示,stETH與ETH兌換比例已跌至1:0.9347。當前池內擁有ETH: 109,716.57枚 (18.14%),stETH: 495,040.06枚 (81.86%),該流動性池比例嚴重傾斜,傾斜比例在持續加劇。[2022/6/16 4:31:16]
本次事件中,攻擊者利用了項目方如下的價格預言機代碼:
該喂價函數將Crv3池內BTC/ETH/USDT池內代幣余額作為價格源的一部分,導致在攻擊者在CRV3CRYPTO池子中利用大量BTC換取了USDT后產生了巨大的價格拉升。
NFT 電影《無限機器》邀請 Decentraland 和 Lumiere 為其開發元宇宙視角:5月30日消息,NFT電影《無限機器》制作公司VersusEntertainment邀請Decentraland和娛樂公司Lumiere為該電影開發NFT和元宇宙視角。據悉,《無限機器》改編自CamillaRusso的同名書籍,將由Versus和知名導演RidleyScott的制作公司ScottFree共同制作。該電影的預算為1600萬美元,預計將在未來幾個月進行第三輪NFT發行。(Beincrypto)[2022/5/30 3:50:10]
攻擊流程
1.攻擊者首先利用閃電貸從AAVE中借來了27000個WBTC,隨后將225個存入了Curve,協議為其鑄造相應的質押憑據;
STEPN官方錢包地址于5月25日轉出約8400萬美元:5月29日消息,數據顯示,STEPN(GMT)官方錢包地址于北京時間5月25日16:50至17:09期間共轉出了83674枚BNB和1,369,176枚SOL,總價值約8400萬美元。具體轉出地址分別為(BNB)0xb7D0749a64345552Ef01fF54D6864202215A09a1;(SOL)Ffbor3Zx46oGPK59S7drZjcTSt8mygZGWc5qkcHLPtWV。[2022/5/30 3:49:27]
2.利用crv3crypto存入yvCurve-3Crypto,協議為其鑄造相應憑據anYvCrv3Crypto;
3.利用余下的WBTC來進行兌換,進而控制latestAnswer中獲取的Curve池子中的余額比例。(使用26,775WBTC交換獲得了75403376USDT);
在第三步兌換前預言機latestAnswer返回為979*1e18;
在價格操控后latestAnswer返回為2831*1e18;
4.于是攻擊者得以使用抵押物借出10,133,949個DOLA,而原本225個BTC價值466W美元;
5.然后則是利用USDT換回WBTC、交換DOLA為3Crv;
6.移除3Crv流動性換取穩定幣USDT;
7.交換為BTC并歸還閃電貸。
總結
預言機合約中錯誤的使用了balanceOf導致攻擊者可操控數據源導致被攻擊,這樣的攻擊方式在之前已出現過多次如Definer預言機攻擊事件,項目方在開發過程中不應忽視安全性考量,在上線前建議做好審計工作。
來源:金色財經
BTC昨日中幅震蕩,日收跌幅0.00%。技術上,4小時線看到,昨日持續在19600-21000之間震蕩,保持在MA20支撐上方,市場有企穩進一步反彈的跡象.
1900/1/1 0:00:00圖:產業數字金融將成為金融服務爭奪的制高點。如果說新基建是路,產業互聯網就是車,數據就是油,金融就是潤滑劑.
1900/1/1 0:00:00ETH短期回調,后市仍有拉升空間:AfricaDAO在BitDAO社區發起提案,要求提供2000萬美元資金支持:8月7日消息,AfricaDAO已在BitDAO社區發起投票提案.
1900/1/1 0:00:00比特幣崩了:瞬間暴跌1000美金又有巨頭跑路? 18日下午2點50分左右,比特幣突然暴跌,10分鐘之內跌近1000美元.
1900/1/1 0:00:00全長2588?字,預計閱讀10?分鐘?作者:Louis?編輯:MiX相比智能合約,應用鏈是優點和缺點都非常顯著的去中心化應用技術棧。最顯著的優點是使用成本低和可定制性強.
1900/1/1 0:00:00加密貨幣暴跌導致如?Celsuis、三箭資本這樣的機構出現流動性和清算風險。對此,SBF表示,雖然?FTX并沒有受影響,也沒有未償還債務,但?SBF稱?FTX有責任阻止危機蔓延.
1900/1/1 0:00:00