前言
北京时间4月28日,Fantom平台DEUS协议又一次遭到攻击,损失约1340万美元,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
粤港澳大湾区首个跨境数据验证平台上线 微众银行提供区块链开源技术支持:3月27日消息,粤澳跨境数据验证平台近日在粤澳两地上线试运行。这是粤澳加快跨境数据便捷有序流动,探索建立开放型、合作型、示范型跨境数字服务融合的又一创新实践。据悉,粤澳跨境数据验证平台首阶段以金融信息作为试行范畴,旨在为粤澳两地机构提供高效的跨境数据验证基础设施,进而为两地的居民及企业提供便捷的跨境服务体验。
微众银行方面介绍,该行是粤澳跨境数据验证平台的区块链开源技术支持方,主要基于国产安全可控的区块链底层开源平台FISCO BCOS,帮助该平台实现跨境数据可信验证。在实践中,用户自主跨境传递数据,粤澳两地机构不直接传输和交换用户数据,通过比对哈希值而非具体信息校验数据可信与否,从而保护用户与机构的数据隐私,降低跨境数据可信风险和滥用风险。(中国证券网)[2022/3/27 14:20:31]
攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
火币大学校长于佳宁:以产业区块链和DeFi为代表的区块链3.0时代曙光已现:2020年以来,区块链技术被纳入“新基建”范畴,产业区块链加速发展。同时,DeFi(分布式金融)赛道迅速崛起,区块链预言机、DAO区块链自组织等都成为行业最前沿的新风口,引起了各界的广泛关注。
“以产业区块链和DeFi为代表的区块链3.0时代曙光已现,这将是一个区块链技术创新和模式创新重构产业的时代,快速的落地和普及给区块链生态带来了又一次繁荣,任何行业都将值得用区块链再重做一次。” 火币大学校长、权威区块链专家于佳宁表示,以比特币为代表的“区块链1.0”时代,是相对简单的“分布式记账”,是对区块链技术最基础的利用;以以太坊为代表的“区块链2.0”时代,是“分布式计算”时代,利用智能合约与公链的可扩展性,从而衍生出更多项目和资产;而以“产业区块链+DeFi”融合为标志的“区块链3.0”,则是“分布式组织”的时代,将以更高效、更可靠、更多元化的区块链基础设施为基础,助力各行业实现商业模式变革、组织变革,从根本上提升效率,释放巨大发展潜能。
更多详情见原文链接。[2020/8/11]
攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
攻击流程
1、从StableV1AMM多个包含USDC的交易对中,闪电贷共借出143,200,000USDC;
2、143,200,000USDC兑换为9,547,716DEI,抬高了交易对中DEI的价格;
3、71,436DEI作为抵押品,借出17,246,885DEI;
4、9,547,716DEI兑换回143,184,725USDC,USDC/DEI交易对价格回复正常;
5、归还闪电贷。
漏洞原理
问题根源在于Oracle喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵
总结
此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。