北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
ETH活跃地址数量创一个月新低:金色财经报道,据Glassnode数据显示,ETH活跃地址数量在过去一小时(7日均值)达到25,659.667个,创近一个月新低。[2022/12/31 22:17:33]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
攻击步骤
报告:一个南美国家近 50% 的居民表示他们欢迎采用比特币作为其官方货币:金色财经报道,一项新研究显示,一个南美国家近 50% 的居民表示他们欢迎采用比特币作为其官方货币。圣保罗金融教育网站 Valor Investe 引用的一项调查对来自巴西、阿根廷、智利、哥伦比亚、哥斯达黎加、萨尔瓦多、委内瑞拉和墨西哥的 2,700 名受访者进行了调查。该研究表明,近一半的巴西人希望他们的国家通过承认比特币为法定货币来加入萨尔瓦多。巴西人是该地区加密识别的最大倡导者,56% 的人支持萨尔瓦多的方法,48% 的人表示他们希望巴西也采用它……另外30% 的人既不同意也不反对,21% 的人反对这个想法( 12% 不同意,9% 强烈不同意)。[2021/9/13 23:20:13]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
V神:从1.0到2.0是从一个共识引擎系统到另一个的状态转换:基于以太坊的去中心化社交应用Status官方在推特称,像“从以太坊1.0迁移到以太坊2.0”这样的说法是行不通的。以太坊创始人V神则评论称,也许关键在于“迁移”是一个不好的词,因为它意味着它们是两个独立的系统。然而在现实中,它是一种从一个共识引擎系统转移到另一个的状态转换。[2020/11/14 20:48:01]
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
独家 | 币链云算负责人邓智:挖矿行业被正规化管理是一个极大的利好:今日,中国政府网发布《产业结构调整指导目录(2019年本)》,文件显示“虚拟货币挖矿”从“淘汰产业”中删除。就此,金色财经采访了币链云算负责人邓智。邓智表示,从多年挖矿的从业经验来看,我个人的看法主要有两点。
首先,这个文件对于挖矿行业的现在和未来都是一个极大的利好。对于挖矿,国家不再针对这种行为,不再认为它是一个淘汰产业,不再是抵触的情绪。国家后续可能会出台一些相关性政策,来管控挖矿行业,将其从灰色地带移出,进行监管、修边等,把它罗列为一个相对比较正规的产业,来促进发展。
其次,结合近期国家以及习总书记对区块链的一些讲话、精神来看,我觉得国家的态度从之前的抵触转为现在的大力发展。对于区块链肯定是大力支持,但是对于挖矿行业可能会进行一些调控,或者是小范围性的调控。中国挖矿业位居全球前列,若国家将挖矿行业进行正规化处理,电费方面会为国家带来增收,从这方面来说对国家是一件好事。
对于今日发布的文件,我觉得对整个行业来说有两条路,一条是归到正规化,为国家产生税收,且数额不小。第二条是依旧放置于灰色地带,现状是除了税收外,矿工的利润会被压榨,但可能还是会有人冒着巨大的风险进入此行业。[2019/11/6]
漏洞分析
声音 | 分析师:不要成为最后一个从山寨币转到比特币的投资者:加密货币分析师Max Keiser发推表示,比特币的市值占比为68.2%(目前为67.9%),正在向80%靠近,(多数)2014年至2017年的山寨币和分叉币已经死亡。不要成为最后一个从山寨币转到比特币的人。[2019/8/7]
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
资金去向
攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。