前言
北京时间4月28日,Fantom平台DEUS协议又一次遭到攻击,损失约1340万美元,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
NFT永续合约交易平台nftperp将于6月初发行Mafia Nuts系列NFT:5月24日消息,NFT永续合约交易平台nftperp宣布将于6月初发行Mafia Nuts系列NFT,该系列将在以太坊主网发布,总量为1500枚,其中999枚可供免费铸造。[2023/5/24 15:22:14]
攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
数据:Sudoswap已交易NFT数量和总交易量均突破30万:金色财经报道,据Dune Analytics数据显示,Sudoswap已交易NFT数量突破30万枚,本文撰写时达到305,021枚,共完成305,021笔交易,参与交易的地址数达到43,738个。此外,截至目前Sudoswap平台的ETH交易总额突破7万枚,当前达到70,523枚,约合106,971,527美元。[2023/5/22 15:19:02]
攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
FTX将下架RUNE现货市场:6月6日,据官方消息,FTX将下架RUNE现货市场,并在完成RUNE主网整合后考虑在未来重新上市。
FTX将于2022年06月13日14:00(UTC)下架RUNE现货市场。
所有RUNE/USD和RUNE/USDT订单将被取消;RUNE存款将被暂停;
将RUNE作为非美元抵押资产移除,请确保您在移除后有足够的抵押品;
RUNE现货借贷仓位将以1小时TWAP指数价格自动平仓,不再支持其现货借贷。
在RUNE现货市场下架之后,FTX将继续支持RUNE提现。[2022/6/7 4:06:54]
攻击流程
1、从StableV1AMM多个包含USDC的交易对中,闪电贷共借出143,200,000USDC;
2、143,200,000USDC兑换为9,547,716DEI,抬高了交易对中DEI的价格;
3、71,436DEI作为抵押品,借出17,246,885DEI;
4、9,547,716DEI兑换回143,184,725USDC,USDC/DEI交易对价格回复正常;
5、归还闪电贷。
漏洞原理
问题根源在于Oracle喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵
总结
此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。