又現套利攻擊：Goldfinch項目的SeniorPool合約遭受攻擊事件分析_USDC

又現套利攻擊！—Goldfinch項目的SeniorPool合約遭受攻擊事件分析

2022-06-2816:55:30

2022年6月28日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Goldfinch項目的SeniorPool合約遭受攻擊，攻擊者累計獲利金額為28,523個USDC，項目方累計損失541,158個USDC。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

零知識身份預言機提供商zkMe完成200萬美元Pre-Seed輪融資，Circle Venture等參投:5月30日消息，零知識身份預言機 zkMe 完成 200 萬美元 Pre-Seed 輪融資，Circle Venture、Spartan Group、CMS Holdings、Fenbushi Capital、NGC Ventures、Arkstream Capital 等參投，計劃利用新資金加速開發，在一個月內完成主網測試并上線客戶注冊功能。

ZkMe 允許用戶加密他們的數據，并使用 ZKP 在他們自己的設備上證明聲明，以有效地驗證用戶資格，同時保護他們的隱私安全。[2023/5/30 9:49:53]

#攻擊過程

Bored & Dangerous項目向許可持有者返還超35萬美元資金:金色財經報道，Bored & Dangerous項目宣布將向社區內獲得許可的持有者返還總計超過356,000美元的資金，相當于每個許可持有者87.47美元。據悉，持有獲得許可的Writer's Room NFT或Bored/Mutant Ape NFT的錢包將有資格參與4月20日開始的認領資金流程，整個過程持續至8月1日，快照將于美東時間2023 年3月31日中午12點拍攝，[2023/4/8 13:51:51]

攻擊交易地址：

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

FDIC前主席：受硅谷銀行事件影響，未來將會有更多銀行破產:3月14日消息，受硅谷銀行事件影響，美國區域性銀行受到重創。周一，Western Alliance Bancorp股價于在盤前暴跌80%以上；First Republic Bank股價暴跌 78%，PacWest Bancorp股價下跌53%。

一位前最高銀行業監管機構認為，硅谷銀行（SVB）將是未來幾周倒閉的幾家銀行中的第一家。

FDIC前主席威廉·艾薩克 (William Isaac)周日表示：“我毫不懷疑：還會有更多。還有多少？我不知道。在我看來很像1980年代（經濟危機）。”[2023/3/14 13:03:04]

攻擊者地址：

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻擊者合約：

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻擊存在多筆，我們選取了具體的一筆攻擊交易進行分析：

1.?第一步：攻擊者通過UniswapV3的DAI-USDC池子閃電貸借出110,000個USDC代幣。

2.?第二步攻擊者再把110,000個USDC代幣從Curve的FIDU-USDC池子兌換出106,667個FIDU代幣。

3.?第三步攻擊者利用SeniorPool合約的withdrawInFidu函數，把106,667個FIDU代幣兌換成113,853個USDC，然后歸還閃電貸110,011個USDC，剩余本次攻擊獲利的3,842個USDC。

漏洞原因為：攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣，來獲取SeniorPool合約抵押USDC代幣的紅利。

目前Curve中FIDU兌換USDC為1:1.03,而在SeniorPool中的比例為1:1.07，這就產生了套利空間。

圖1?Curve中FIDU兌換USDC的比例

圖2?SeniorPool合約中FIDU兌換USDC的比例

下面是具體的代碼實現：

攻擊者利用withdrawInFidu函數銷毀FIDU代幣換取USDC。而可獲取USDC的數量是通過_getUSDCAmountFromShares函數中的sharePrice去計算的。這里的sharePrice會隨著分紅的增加而增加，攻擊者就可以利用Curve的FIDU-USDC池子獲取FIDU代幣，從而獲取SeniorPool合約抵押FIDU代幣的紅利。

總結

針對本次事件，成都鏈安安全團隊建議：

項目方使用新的代幣代替FIDU代幣為憑據代幣，并確保其他途徑無法獲取該憑據代幣。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

來源：金色財經

Tags：USDCSDCUSDFIDPCUSDC價格PCUSDC幣usdp幣什么時候發行PFID

聚幣