又现套利攻击:Goldfinch项目的SeniorPool合约遭受攻击事件分析

又现套利攻击!—Goldfinch项目的SeniorPool合约遭受攻击事件分析

2022-06-2816:55:30

2022年6月28日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Goldfinch项目的SeniorPool合约遭受攻击,攻击者累计获利金额为28,523个USDC,项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析,现与大家分享。

Zeus Investments成立新团队拟涉足区块链和加密货币基金市场:金色财经报道,韩国战略风险投资公司 Zeus Investments 宣布已组建一支新的专业团队拟涉足区块链和加密货币基金市场,该团队由 Emily Roberts 领导,将密切关注区块链和加密货币市场的最新发展和趋势,为客户提供多元化的投资选择,并且通过研究和分析对一些行业内的新兴趋势、有前途的项目、创新型初创公司进行战略投资。(雅虎财经)[2023/5/24 15:23:02]

#攻击过程

攻击交易地址:

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

欧易OKX Ventures投资去中心化质押服务解决方案Diva:据官方消息,欧易OKX Ventures宣布投资社区驱动的流动性质押协议Diva。据悉,Diva是第一个完全基于分布式验证者技术 (DVT) 并提供流动性质押衍生品的去中心化质押服务解决方案。

欧易OKX Ventures创始人Dora表示,“我们很高兴高兴参与Diva的投资。 OKX Ventures看到了 Diva 的潜力,与主流的单一运营商解决方案相比,DVT优化了网络冗余,降低了单点故障风险 。”[2023/1/18 11:18:06]

攻击者地址:

Andre Cronje:Fantom将成为区块链平台的Youtube或Twitch:12月1日消息,Andre Cronje发布推文称,Fantom将成为区块链平台的Youtube或Twitch。

此前报道,Fantom为了留住有才华的创作者,并奖励高质量的dApp,发布了dApp gas货币化计划提案,以降低Fantom当前的消耗率,让更多网络费用直接重定向到基于Fantom构建的dApp。[2022/12/1 21:16:13]

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻击者合约:

Ripple要求认证SEC官员公开发言的7份视频,遭美SEC拒绝:8月4日消息,Ripple请求法院允许向两家视频共享平台发出传票,以下载SEC官员公开讲话的七份视频。

Ripple已经请求法官Sarah Netburn批准向两名非当事人发出传票,以核实七份美国SEC官员就之前的Requests for Admissions(RFAs)公开发言的视频录音。然而美国SEC拒绝了这一请求。(The Crypto Basic)[2022/8/4 12:01:51]

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻击存在多笔,我们选取了具体的一笔攻击交易进行分析:

1.?第一步:攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。

2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。

3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数,把106,667个FIDU代币兑换成113,853个USDC,然后归还闪电贷110,011个USDC,剩余本次攻击获利的3,842个USDC。

漏洞原因为:攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币,来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07,这就产生了套利空间。

图1?Curve中FIDU兑换USDC的比例

图2?SeniorPool合约中FIDU兑换USDC的比例

下面是具体的代码实现:

攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加,攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币,从而获取SeniorPool合约抵押FIDU代币的红利。

总结

针对本次事件,成都链安安全团队建议:

项目方使用新的代币代替FIDU代币为凭据代币,并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

BNB干货分享最实用的外汇投资技巧 投资有哪些技巧?

外汇市场复杂多变,因此投资者不仅需要掌握一般的投资策略,还要学习一定的实战技巧。最实用的外汇投资技巧有以下几点:外汇交易技巧一、“顺势而为”最重要,买涨不买跌在汇率上升的趋势中,只有一点是买错的,那就是价格上升到顶点的时候.

[0:0ms0-2:492ms