北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。
攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。
下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
美國法律專家:金融法規是一堆法規、規則和指南,幾乎沒有一個是為加密設計的:金色財經報道,美國紐約國際律師事務所MorrisonCohen的律師兼合伙人Jason Gottlieb發推表示,一些加密人認為“加密是不同的,舊的規定不適用。” 有些人認為,“所有相同的規則都適用于加密貨幣,任何說它復雜的人都是虛偽的。” 這兩種觀點都是錯誤的;真相介于兩者之間。金融法規是一堆法規、規則和指南,幾乎沒有一個是為加密設計的。許多舊規則有效,并且很容易應用。但很多都不是。分辨哪個是哪個可能很難。在有更多法庭指導之前,還有很多不確定性。[2021/9/13 23:20:14]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
維珍銀河董事長:NFT是數字資產領域的下一個前沿領域:維珍銀河董事長、比特幣支持者Chamath Palihapitiya表示,NFT是數字資產領域的下一個前沿領域。Palihapitiya稱其正在建立NFT相關投資組合,其團隊將在未來幾周或幾個月內公開其加密貨幣投資。(dailyhodl)[2021/3/24 19:12:00]
攻擊步驟
①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。
②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。
聲音 | BM:我喜歡有KYC的側鏈,因為其填補了一個商機:據WhaleEx消息,3月16日晚間,BM在電報群與社區成員進行互動,并表示,默認的情況下,側鏈的存在是好的,但具體情況可能會很糟糕。此外,BM稱,他喜歡有KYC的側鏈,因為有KYC的側鏈填補了一個商機。[2019/3/17]
③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。
④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。
漏洞分析
在函數calcMint中,合約使用以下公式來計算鑄幣量:
原始比特幣協議開發者之一對比特幣現金提出一個新的概念:原始比特幣協議開發者之一加文·安德向Github提出了一個名為“將UTXO作為一個位向量存儲”的想法。這個特定的想法就是比特幣現金(BCH)網絡。安德森將這個概念稱之為“完整實現比特幣現金(BCH)模式的半熟想法”,是將全部交易數據的存儲轉移到錢包上的一個想法。[2018/1/3]
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。
資金去向
攻擊者可因此獲取大約1000個ETH,所有的資金均被轉移至Etherscan并被發送到tornadoproxy。
寫在最后
本次事件主要是由合約公式計算錯誤引起的。
只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。
在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。
除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
參考鏈接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
Tags:CERTPSHTTERTcere幣什么時候上平臺tps幣圈https://etherscan.ioRobert F Kennedy Jr
MantaNetwork與Axelar近期宣布了跨鏈合作,MantaNetwork將通過Axelar跨鏈橋為其Layer1隱私網絡引入更多生態資產.
1900/1/1 0:00:00北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失.
1900/1/1 0:00:00本期內容腦圖: 今天的話題是:AC為何退圈? 為啥要研究這個呢? 因為理解了AC為何退圈,你就理解DeFi從1.0到2.0的發展,還有DeFi的創新之難.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,過去二十三周,TRX連續處于通縮狀態,通縮量達3.09億枚TRX.
1900/1/1 0:00:00區塊鏈和加密如何徹底顛覆游戲經濟無可否認,視頻游戲行業是當今科技和娛樂行業中規模最大、利潤最高的行業之一。據估計,世界上超過三分之一的人口玩某種類型的電子游戲.
1900/1/1 0:00:00前言 北京時間2022年03月03日,知道創宇區塊鏈安全實驗室監測到Arbitrum上TreasureDAO的NFT交易市場出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分NFT.
1900/1/1 0:00:00