比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 瑞波幣 > Info

被盜1570萬美元!DEUS Finance DAO攻擊事件分析_USD

Author:

Time:1900/1/1 0:00:00

?北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。

攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。

漏洞交易

https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

Poly Network攻擊黑客在多條鏈上鑄造超340億美元資產:7月2日消息,據 Beosin Alert 監測,跨鏈互操作協議 Poly Network 攻擊黑客在多條鏈上鑄造了超過 340 億美元的資產,其中部分被盜資金(約合 80 萬美元)被轉移至以太坊地址:0xe0Afadad1d93704761c8550F21A53DE3468Ba599。

此前報道,Poly Network 在 2021 年曾遭黑客攻擊被盜 6 億美元。[2023/7/2 22:13:02]

攻擊步驟

26小時前226091枚FXS解鎖,其中Dragonfly Capital獲得46296枚:金色財經報道,據Spot On Chain監測,26小時前,226091枚FXS以8.17美元的價格從Treasury和Advisor開發者錢包中解鎖。

作為其私募投資方之一的Dragonfly Capital從解鎖中獲得了46296枚FXS(價值37.8萬美元)。[2023/4/23 14:21:46]

①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。

Kraken與一級方程式車隊Williams Racing達成合作:金色財經報道,Kraken與一級方程式車隊Williams Racing簽署了為期多年的全球協議,通過Kraken的NFT平臺出售作品的藝術家,將在某些比賽中將他們的NFT展示在賽車的尾翼上。該公司沒有提供財務條款的細節。(彭博社)[2023/3/28 13:31:35]

③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。

④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。

⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。

漏洞分析

通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。

資產去向

截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history?

寫在最后

預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。

2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。

3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。??

4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。?

Tags:DEIUSDUSDCSDCdeipoolOffshift anonUSDAUSDC幣usdc幣是什么幣

瑞波幣
OpenSea 新協議 Seaport,如何重塑 NFT 交易市場?_PORT

5月21日,NFT市場OpenSea宣布推出全新Web3市場協議Seaport協議,用于安全高效地買賣NFT。本文講包含它的具體含義以及它如何從根本上改變我們購買/銷售/交易NFT的方式.

1900/1/1 0:00:00
速覽 MakerDAO 發布的 rETH 風險評估報告_ETH

MakerDAO的風險評估團隊發布了關于RocketPool質押代幣$rETH的報告,穩定幣市場中最符合ETH質押的協議正在進行整合,讓我們簡單看一下報告,以及看看整合后會有什么影響.

1900/1/1 0:00:00
PERI Finance在波卡Moonriver上推出支持鏡像加密資產交易的DEX_NCE

PERIFinance發展又向前邁出了一大步。4月30日,PERIFinance宣布在Moonriver主網推出去中心化交易平臺,用戶可以利用基于?dApp的跨鏈代幣橋接服務,在?PERIDEX.

1900/1/1 0:00:00
a16z的加密貨幣狀況報告:以太坊的受歡迎是一把“雙刃劍”_以太坊

加密風投基金巨頭AndreessenHorowitz(a16z)強調,盡管以太坊的交易費用很高,但其發展和加密用戶對它的需求是“無可匹敵的”.

1900/1/1 0:00:00
比特幣創接近一個月最大跌幅,美聯儲會議后市場的樂觀情緒消退_比特幣

隨著周三美聯儲會議后金融市場的樂觀情緒消退,比特幣創下接近一個月最大跌幅。周四這種最大的數字貨幣一度下跌8.4%至36,639美元,為4月11日以來最大盤中跌幅。周三比特幣上漲5.3%.

1900/1/1 0:00:00
Solana上的NFT,紅海中的「下沉市場」_SOL

「SOLCommunity>ETHCommunity.」Orangie發了這樣一條推文。Orangie是Twitter上的一個擁有超過160k粉絲的NFTKOL,雖然他現在仍然用MAYC作.

1900/1/1 0:00:00
ads