又现套利攻击!—Goldfinch项目的SeniorPool合约遭受攻击事件分析
2022-06-2816:55:30
2022年6月28日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Goldfinch项目的SeniorPool合约遭受攻击,攻击者累计获利金额为28,523个USDC,项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析,现与大家分享。
金融科技公司Grow Bank计划将加密交易整合到其服务中:金色财经报道,总部位于苏黎世的新金融科技公司 Grow Bank 计划将加密货币和法定货币交易整合到其服务中。 该银行表示,其平台支持 64 种法定货币和 20 种加密货币,允许用户将法定货币与加密货币进行交易。用户可以使用 Grow 的应用程序开设个人或公司存款账户,获得借记卡,并以法定或加密货币兑换货币。它对个人和公司卡收取 145 欧元的年费,对个人和公司账户收取每月 12 欧元的费用。Grow表示他持有电子货币许可证和传统银行牌照,并且“其用户受到瑞士法律的保护”。[2023/3/17 13:09:42]
#攻击过程
LBank蓝贝壳上线BAT、IOST、RVN 1-50倍永续合约交易:据官方消息,LBank蓝贝壳将于3月17日19:00上线BAT、IOST、RVN 1-50倍永续合约交易。用户可在合约交易参与体验,并可以在合约介绍查看更多合约相关信息。
据了解,LBank蓝贝壳推出的永续合约交易目前已上线BTC、ETH、ETC、XLM、BLZ、NEO、ZEC、BEL等多个币种,后续将陆续上线更多永续合约交易。更多详情请关注LBank官网公告。[2021/3/17 18:53:38]
攻击交易地址:
0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707
Standard Bank Group加入Hedera管理委员会并成为其节点运营商:非洲资产规模最大的银行Standard Bank Group已经与企业级分布式账本技术项目Hedera Hashgraph达成合作。根据一份联合声明,这家非洲银行巨头现在加入了谷歌、LG和IBM等其他大公司,成为Hedera管理委员会的成员。Standard Bank Group也将成为Hedera节点运营商,成为非洲首个专注于利用DLT来缓解非洲大陆跨境贸易瓶颈的节点运营商。(Cointelegraph)[2021/2/24 17:49:00]
攻击者地址:
0x86c595d81c8ab46d893065c3c674da72555fe7c0
攻击者合约:
0x541143d5eb30563a478eea23866e203b7c38c1ca
本次攻击存在多笔,我们选取了具体的一笔攻击交易进行分析:
1.?第一步:攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。
2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。
3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数,把106,667个FIDU代币兑换成113,853个USDC,然后归还闪电贷110,011个USDC,剩余本次攻击获利的3,842个USDC。
漏洞原因为:攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币,来获取SeniorPool合约抵押USDC代币的红利。
目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07,这就产生了套利空间。
图1?Curve中FIDU兑换USDC的比例
图2?SeniorPool合约中FIDU兑换USDC的比例
下面是具体的代码实现:
攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加,攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币,从而获取SeniorPool合约抵押FIDU代币的红利。
总结
针对本次事件,成都链安安全团队建议:
项目方使用新的代币代替FIDU代币为凭据代币,并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。