北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?
链上分析师:类似于“无风险”收益率指标表明市场需要一个巨大的催化剂:金色财经报道,链上分析师 Will Clemente研究了比特币的链上移动以及衍生品市场行为。?
在链上方面,过去一周与上周相比没有太大变化。比特币的交易量走势集中在 36000 美元至 45,000美元的价格范围内。Clemente指出,具体而言,大约 20% 的比特币货币供应量已经在价格范围内移动,这意味着现货市场溢价持续存在。在衍生品方面,市场也没有表现出太多的“繁荣”。这方面的一个指标是,现货比特币和季度合约之间的差价一直在降温。类似于“无风险”收益率指标表明市场需要一个巨大的催化剂,比如苹果或亚马逊宣布购买比特币才能再次达到沸点。
然而,分析师,在没有外部影响的情况下,市场可能有一定的反弹潜力,从链上供应动态的角度来看,在比特币交易余额下降的背景下,非流动性供应有所增加。正如链上数据所表明的,这可能对市场有利。(coingape)[2022/3/20 14:06:57]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
波场第一个官方预言机项目JustLink宣布超级节点:据官方最新消息,波场第一个官方预言机项目JustLink已经宣布超级节点,分别是JustSwap、Poloniex、Polonidex、TronLink、Bitorrent、Utorrent。据悉,通过成为超级节点,将被集成到JustLink SLA系统中,以监视节点的信誉,超级节点也将获得更多关注和奖励。 JUST基金会已于2020年10月30日正式上线去中心化预言机项目JustLink。JustLink是运行在波场TRON网络上的第一个官方去中心化预言机项目,作用就是以最安全的方式向链上的智能合约提供现实世界中产生的真实数据,包括比如借贷价格、稳定币汇率、金融衍生品价格、预测市场数据等。[2020/11/2 11:24:53]
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
声音 | Erik Voorhees:比特币需要非常保守,不能尝试每一个新想法:ShapeShift首席执行官Erik Voorhees表示,可替代性和闪电网络在技术层面对比特币都很重要,同时交易所交易资金对整个加密货币空间至关重要。比特币需要非常保守,它不能尝试每一个新想法,也不能针对每一个变量进行优化。[2019/3/24]
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
在函数calcMint中,合约使用以下公式来计算铸币量:
前PayPal和Intuit公司CEO:比特币是一个巨大的局:美国金融科技界传奇人物、Personal Capital创始人、前PayPal和Intuit公司CEOBill Harris周二表示,比特币是一个巨大的“拉高出货”局,其规模之大前所未见。他表示,这一局的“输家是那些信息不灵通的买家,大量财富从普通家庭转移到互联网推手手中。”[2018/4/25]
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。