CAP:重蹈覆轍？為何DEUS協議再受攻擊-ODAILY

前言

北京時間4月28日，Fantom平臺DEUS協議又一次遭到攻擊，損失約1340萬美元，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx：0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

中國版權保護中心與螞蟻集團攜手共建數字版權鏈:金色財經消息，近日，中國版權保護中心與螞蟻集團螞蟻鏈正式簽署合作協議，雙方將以共建數字版權鏈（DCI體系3.0）為核心抓手，以共同推進中央網信辦、中宣部等十六部門聯合批準的國家“區塊鏈+版權”特色應用試點項目為契機，探索構建互聯網版權服務創新機制和產業新生態，助力國家文化數字化戰略實施和產業高質量發展。

據悉，此次合作雙方將共同致力于滿足海量數字內容對版權保護與服務創新的迫切訴求，面向互聯網平臺億級用戶提供即時DCI申領、按需辦理數字版權登記的版權權屬確認服務。[2022/8/2 2:53:47]

攻擊合約：0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C

派盾：AnubisDAO Rug Pull地址分多筆將約1018枚ETH經由中間地址轉入Tornado Cash:6月24日消息，據派盾監測，AnubisDAO Liquidity Rug 3地址（0xb1...e211）分多筆累計將約1018枚ETH（約1177.8萬美元）經由中間地址（0x07...b7f4）轉入TornadoCash。

去年10月，AnubisDAO Liquidity Rug 2地址（0x9f...912a）卷走AnubisDAO 5800萬美元資金，推特用戶@0xSisyphus曾發推懸賞1000枚ETH賞金查明該地址身份。[2022/6/24 1:29:10]

攻擊者：0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb

元宇宙游戲Chibi Clash完成300萬美元私募輪融資，Jump Capital等參投:5月31日消息，Web3元宇宙游戲Chibi Clash宣布完成300萬美元私募輪融資，本輪融資由Alliance、Genblock Capital、Jump Capital、C2 Ventures、Kyros Ventures、NGC Fund、PANONY、PetRock Capital、Polygon Ventures、Shima Capital、Avocado DAO、Rainmaker Games等參投。ChibiClash正在構建一個以旗艦汽車格斗游戲為中心的Web3游戲世界，游戲采用了《爐石傳說》的游戲玩法和《冒險島》的藝術風格，玩家可以使用NFT解鎖武器升級。[2022/6/1 3:54:06]

攻擊流程

1、從StableV1AMM多個包含USDC的交易對中，閃電貸共借出143,200,000USDC；

2、143,200,000USDC兌換為9,547,716DEI，抬高了交易對中DEI的價格；

3、71,436DEI作為抵押品，借出17,246,885DEI；

4、9,547,716DEI兌換回143,184,725USDC，USDC/DEI交易對價格回復正常；

5、歸還閃電貸。

漏洞原理

問題根源在于Oracle喂價合約中，價格計算取決于交易對的余額數量，容易通過閃電貸操縱

總結

此次攻擊事件的核心在于用于喂價的預言機合約的定價機制存在缺陷，僅通過交易對的代幣余額計算而來，容易被閃電貸操縱。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DEICAPSDCITABrigadeiro.FinanceBCAPSCUSDC價格InvestDigital

比特幣價格實時行情