以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

DEI:被盜1570萬美元!DEUS Finance DAO攻擊事件分析

Author:

Time:1900/1/1 0:00:00

?北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。

攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。

漏洞交易

https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

開源可編程加密貨幣平臺Spacemesh將于7月14日上線主網:7月8日消息,開源可編程加密貨幣平臺Spacemesh將于7月14日上線主網,任何擁有標準消費級PC的人都將能夠開始運行節點并賺取Smesh代幣,Smesh用戶將在 8 月 11 日開始的兩周內獲得第一份獎勵,且所有 smesh 用戶都會在8月15日之前獲得他們的第一份獎勵。

其中運行節點的最低要求為CPU:Intel或AMD x86-64或64位ARM,包括Apple Silicon(但不包括Raspberry Pi);內存:1GiB+;操作系統:Windows 10/11、MacOS、Ubuntu 22.04+或Fedora 36+;磁盤空間:50GiB的可用磁盤空間;始終開啟且無流量限制的互聯網連接,下載速度至少為5 mbps,上傳速度至少為1 mbps。[2023/7/8 22:25:35]

攻擊步驟

過去24小時全網爆倉1.7億美元:金色財經報道,Coinglass數據顯示,過去24小時全網爆倉1.7億美元,其中ETH爆倉2201萬美元,BTC爆倉3858萬美元。[2023/2/16 12:09:39]

①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。

③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。

zkSync將于11月初發布有關代幣經濟學的公告:10月21日消息,zkSync開發團隊Matter Labs首席產品官Steve Newcomb在Twitter Space中表示,zkSync將于11月初發布有關代幣經濟學的公告。此外,此前有關zkSync將于11月發行代幣的消息系謠言。[2022/10/21 16:34:14]

④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。

⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。

漏洞分析

通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。

資產去向

截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history?

寫在最后

預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。

2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。

3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。??

4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。?

Tags:DEIMESHMESESHDEIP價格MESHI價格PET GAMESSHEESHA

SHIB最新價格
BEE:專訪 Beeple:NFT 的下個時代將聚焦于情感連接和效用

Beeple在成為NFT藝術運動先驅后,將出售NFT作品獲得的加密貨幣轉換為法幣,以實現完全的創作自由。Beeple的新項目「HUMANONE」,是第一個數字和實體雕塑的結合.

1900/1/1 0:00:00
BAYC:深度解析BAYC成功背后的品牌價值:身份、地位、歸屬感與文化

非同質化代幣(NFT)持續在主流媒體中破圈,其中最著名的當屬Punk、BAYC這種元老級別的藍籌項目.

1900/1/1 0:00:00
NFT:Q1全球區塊鏈投融資報告:NFT仍是資本方最青睞的賽道

摘要 受經濟政策和地緣影響,全球主要加密貨幣在觸底后開始反彈。美聯儲及各國央行自2021年末開始加息與調整資產負債表,以及俄烏沖突加大了全球經濟市場的不確定性,加密貨幣領域第一季度出現較大波.

1900/1/1 0:00:00
區塊鏈:在Crypto浪潮的推動下,搜索引擎巨頭谷歌組建Web 3新部門

谷歌的云計算部門最近宣布,它將成立一個新的部門來構建支持Web3開發人員的工具。人們對Crypto世界越來越感興趣、傳統經濟部門中Crypto空間越來越活躍,越來越多的企業開始采用Web3工具.

1900/1/1 0:00:00
APE:無聊猿的生意經:助長 FOMO,出售空氣

在短短的一年時間里,無聊猿游艇俱樂部已經從一個小眾的NFT,發展成為了一個完整的生態系統,并成為了炫耀財富的主流手段.

1900/1/1 0:00:00
區塊鏈:Web3革命:逃離、信仰、大遷徙

“只等字節的年終獎發完,我就去了,字節另一個部門的朋友會和我一起。”字節員工章北海向虎嗅說道。作為最年輕、唯一一個還在快速增長且存在很大機會的互聯網大廠,字節跳動不少員工卻選擇了主動放棄“跳動”.

1900/1/1 0:00:00
ads