北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?
数据:币安上BTC期货合约空头清算额达一个月高点:2月8日消息,据Glassnode数据显示,币安上BTC期货合约空头清算额达一个月高点,数值为4,138,773.27美元。[2022/2/8 9:38:34]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
声音 | BTG创始人廖翔:会推动一个分叉比特币的新链项目:BTG创始人廖翔表示,近期会推动一个分叉比特币的新链项目。这个币未来走的是跟BCH社区不同的方向,和BCH是竞争关系。团队未来会在比特币网络上进行分叉。这条链的亮点是更大的交易容量,更快的确认时间,更低的手续费。[2018/12/5]
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
现场 | 美国财务学会会员曹辉宁:需要一个新的共识机制改善区块链目前的状况:金色财经现场报道,在今日举办的2018全球媒体峰会上,长江商学院金融学教授、金融MBA学术主任、美国财务学会会员曹辉宁发表题为《区块链向何处去》的演讲,他表示,POW、POS、POA、DPOS等共识机制都各有优缺点,曹辉宁认为需要一个新的共识机制改善目前的状况,通过身份镜像协议提供随机化工作量证明降低能耗,以及多级分层链网架构和增强智能合约,同时满足监管要求,降低能耗,提高TPS效率,增大区块链处理规模,使得区块链真正落地,成为能够为大众服务的技术。[2018/7/19]
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
对冲基金首席信息官Ari Paul解释比特币中的下一个牛市:据newsbtc消息,对冲基金首席信息官Ari Paul解释了他对加密货币的看法。比特币投资者开始时忽视了散户对加密货币的持有,认为这是牛市的短期推动因素。Ari Paul指出,采用加密货币作为现金将在中期推动市场向上。此外,Ari Paul认为,第三方监管,银行业务关系,指数基金以及更值得信赖的交易所“将支持比特币的逐步使用”以及机构投资组合中的其他“Coinbase的货币”。[2018/3/19]
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。