BTC/HKD+1.52%
ETH/HKD+1.22%
LTC/HKD-0.77%
DOT/HKD-1.03%
ADA/HKD-1.84%
SOL/HKD+2.59%
XRP/HKD-2.19%
DOGE/US+0.95% 
北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
報告:Block.one旗下加密貨幣交易所Bullish涉嫌內幕操縱:9月4日消息,來自法務金融分析公司IntegraFEC的報告顯示,EOS母公司Block.one在ICO期間存在一系列可疑交易,故意推動了EOS的價格,誘使其他人購買ICO代幣。如果調查結果屬實,這將違反美國1933年的證券法和1934年的交易法。在2017年和2018年的11個月里,一家鮮為人知的軟件制造商Block.one為一種新的加密貨幣EOS進行了首次代幣發行,籌集了超過40億美元,幾乎比此前任何其他ICO都多。2019年,美國證券交易委員會因未注冊ICO而對Block.one處以2400萬美元的罰款。2020年,EOS代幣持有者去年起訴Block.one,稱此次出售為“欺詐計劃”,并聲稱該公司違反了證券法。(beincrypto)[2021/9/4 23:00:43]
攻擊步驟
分析 | 華爾街日報:加密交易團體過去六個月通過價格操縱獲利8.25億美元:據華爾街日報8月5日發布的一項研究,數十個有組織的加密“交易團體”正在操縱一些最大的在線交易所的加密貨幣價格,已在過去六個月通過操縱市場獲利8.25億美元。價格操縱主要由有組織的“交易團體”通過使用Telegram等服務進行。據報道,華爾街日報在1月至7月底對交易平臺之間的交易數據和在線交流進行了審查,確定了175個“拉高出貨”的計劃,涉及121種不同代幣。[2018/8/7]
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
NEM董事長:加密貨幣的價格操縱“不可避免”:據美國財經網站CNBC報道,加密貨幣公司NEM的負責人周二說,在加密貨幣的世界里,操縱價格是“不可避免的”,但一旦市場成熟,價格操縱就會消失。“操縱價格并不是什么新鮮事。你也可以在主流市場看到它。我們的行業正處在一個剛剛起步的發展階段,這些事情是不可避免的。”NEM的董事長Lon Wong告訴CNBC。NEM旗下的加密貨幣新經幣(XEM)最近卷入了一場巨大的加密貨幣盜竊事件,黑客從日本的加密貨幣交易所Coincheck竊取了價值5.3億美元的數字資產。Wong告訴CNBC,監管機構應努力對數字貨幣交易所形成統一監管。[2018/2/14]
②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。
③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
SupraOracles很高興地宣布與IoTeX建立合作伙伴關系,IoTeX是領先的區塊鏈和物聯網平臺,具有MachineFi的愿景.
1900/1/1 0:00:00當我們正在準備明年推出完全去中心化的QredoV2時,首席執行官AnthonyFoy為大家回顧了Qredo的發展歷程;中文社區的各位伙伴,讓我們一起,回顧這段去中心化之路.
1900/1/1 0:00:00NFT的工作原理以及為何它們將徹底改變數字經濟根據摩根大通的數據顯示,截至2021年11月,全球NFT市場價值[約為70億美元,預計在未來幾個月和幾年,市場將呈指數級增長.
1900/1/1 0:00:00“我們不是歷史的創造者,我們是歷史造就的。”——小馬丁·路德·金,《愛的力量》協作通過組織發生,每個時代都有自己的形式.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00你是游戲開發的行家嗎?對于SolanaRiptide黑客馬拉松,Orca為基于我們旗艦NFT項目Orcanauts建造的最好的游戲提供了一份特別的獎勵! 如何贏取 從2月2日到3月17日.
1900/1/1 0:00:00
比特幣交易所
