北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
Optimism:目前没有一个被盗用的 OP 被用于与治理相关的事情:金色财经报道,Optimism官方在社交媒体上表示,到目前为止,没有一个被盗用的 OP 被用于与治理相关的事情,如果这种情况发生变化,我们届时将参与有针对性的社区讨论,并获得更全面的事实。原则上,Optimism可以进行网络升级以停止那些尚未转让或出售的 OP 代币的移动。由于这将开创先例,我们目前不会采取这一步骤。Optimism 是一个无需许可的网络,其行为符合预期。目前,大部分有问题的OP尚未移动。Optimism 和 Wintermute 团队都在密切关注局势。受此消息影响,OP24小时下跌超11%,目前报0.86美元。
金色财经此前报道,一名黑客利用Wintermute技术失误盗取2000万个Optimism代币。[2022/6/9 4:13:19]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
声音 | Ripple首席技术官:Ripple最终只是一个运行验证器的计划:据AMBVCrypto报道,Ripple公司的首席技术官David Schwartz表示,XRP分类帐是第一个使用工作量证明以外的东西的区块链,Ripple最终只是一个运行验证器的计划。他表示,即使运行验证器的坏人决定破坏网络,也只是“短期的减速带”。我最担心的事情是有尚未发现的软件缺陷。因为没人知道短期内可能造成什么损害。每当添加新功能时,都将承担风险。[2019/11/29]
攻击步骤
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
现场 | MixMarvel联合创始人:以太坊仍是一个最公平的生态:金色财经现场报道,3月8日,MixMarvel联合创始人Yiyi在由金色财经主办的金色沙龙圆桌论坛环节指出,现在以太坊是内忧外患,内忧就是决策权比较分散,他们都有各自的利益驱动;外患就是有更多公链在侵蚀以太坊的市场。同时,她还指出,以太坊还是一个最公平的生态,长远来看还是看好以太坊。[2019/3/8]
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
NBA勇士队球星史蒂夫-库里成为第一个名人加密猫:据Coindesk报道,加密猫(CryptoKitties)创业公司伙伴关系负责人Caty Tedman表示,他们将为NBA勇士队球星史蒂夫-库里推出有史以来第一款名人品牌的加密猫。他表示,“我们将推出一系列库里加密猫,将会有三只独有的库里加密猫,都代表着他的个性。库里将出售其中的一只,另外两只也将由他决定是否卖掉。”[2018/5/7]
漏洞分析
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
资金去向
攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。