ValueDefi合约在铸币过程中将合约资产转换成3CRV时依赖CurveDAI/USDC/USDT池中USDC/3CRV的价格,导致攻击者可以通过操控CurveDAI/USDC/USDT池中USDC/3CRV的价格来操控mVUSD/3CRV的价值,从而获利。
具体过程如下:查看交易详情
分析师:BTC在29,500美元水平附近保持谨慎很重要:金色财经报道,推特用户Ali监测BTC链上数据显示,172万枚BTC最后在29,500美元至30,200美元的价格范围内波动,代表了一个重要的阻力区域。
该分析师进一步报告称,根据TD Sequential指标,BTC的日线图显示出买入信号。如果每日收盘价超过30,000美元,则可能会确认看涨模式,从而可能上涨至30,400美元至30,600美元的范围。然而,在29,500美元水平附近保持谨慎很重要。如果该水平有任何疲软或支撑下降的迹象,则可能会否定买入信号。[2023/7/24 15:54:46]
1.攻击者从Aave借出80000个ETH,为攻击做准备;
NFT项目Deadfellaz推出最新IP产品“Streamingfellaz”:金色财经报道,NFT项目Deadfellaz在社交媒体宣布推出最新IP产品“Streamingfellaz”,允许其NFT收藏家群体(被亲切地称为“部落”)能够通过视频流显示他们的数字身份。Streamingfellaz持有者能在虚拟通话、直播和预录视频内容中表达他们的Deadfellaz角色,通过模拟用户的动作和表情使PFP角色栩栩如生,Twitch、YouTube、Google Meet和Zoom等平台都针对此实用程序进行了优化。DFZ LABS联合创始人兼首席执行官Betty称数字身份表达是Deadfellaz品牌的基石,Streamingfellaz是品牌使命延续,可以为藏家提供资源和创意扩展,让他们能够在任何地方表达化身。[2023/5/21 15:16:35]
2.攻击者使用80000个ETH在UniswapDAI-ETH(https://info.uniswap.org/pair/0xa478c2975ab1ea89e8196811f51a7b7ade33eb11)池中用闪电贷借出大量的DAI和在UniswapETH-USDT(https://info.uniswap.org/pair/0x0d4a11d5eeaac28ec3f61d100daf4d40471f1852)兑换出大量的USDT;
ETHW:拒绝将合约冻结代码合并到主代码库,不会以任何方式限制ETHW合约池:9月8日消息,以太坊分叉项目EthereumPoW(ETHW)在推特上发布致以太坊社区的公开信,表示拒绝将合约冻结代码合并到主代码库中的提议,并坚称不会以任何方式限制ETHW上的合约池。
ETHW还表示,ETHW Core就以下内容达成了共识。1.100%尊重现行的ETHW账本,不会引入任何监管或中心化技术。无论是善意保护用户的提案,或应监管机构要求的技术妥协。2.100%坚持去中心化治理,不会引入任何黑名单或白名单或其他技术限制资产转移。3.100%尊重任何个人、DAO和机构钱包,这包括普通钱包、链上多重签名钱包,甚至黑客的钱包。[2022/9/8 13:15:55]
3.用户调用ValueMultiVaultBank合约的deposit合约使用第2步中小部分的DAI进行充值,ValueMultiVaultBank合约中一共有3种资产,分别是3CRV、bCRV、和cCRV。ValueMultiVaultBank合约在铸币的时候会将合约中的bCRV,cCRV转换成以3CRV进行计价,转化的途径为bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的价格。转换完成后,ValueDefi合约根据合约中总的3CRV的价值和攻击者充值的DAI数量计算mVUSD铸币的数量;
4.攻击者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兑换USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的价格;
5.攻击者在ValueMultiVaultBank合约中发起3CRV提现,此时ValueMultiVaultBank合约和第3步一样,会先将合约中的bCRV,cCRV转换成以3CRV计价,由于在第4步中,USDC/3CRV的价格已经被拉高,导致换算的过程中,ValueMultiVaultBank合约中的bCRV,cCRV能换算成更多的3CRV,也就是说使用同等份额的mVUSD可以换取更多的3CRV;
6.拿到3CRV后,攻击者到Curve的DAI/USDC/USDT池中使用3CRV换回DAI,并在Uniswap中兑换回ETH,然后归还Aave的闪电贷。
使用TokenviewDefi浏览器查看流动性挖矿DeFi列表
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。