Flurry Finance被盜事件分析：項目不立于「危墻之下」-ODAILY_LUX

北京時間2022年2月22日下午1:46，CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動，FlurryFinance的Vault合約受到攻擊，價值約29.3萬美元的資產被盜。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

攻擊步驟

①攻擊者部署了一個惡意代幣合約，并為代幣和BUSD創建了一個PancakeSwap交易對。

攻擊者：https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

金融科技巨頭Flutterwave獲得盧旺達電子貨幣許可證:金色財經報道，尼日利亞金融科技巨頭 Flutterwave宣布，它已在盧旺達獲得另外兩個牌照，這將有助于其擴大在東非的業務。這些許可證稱為電子貨幣發行人和匯款許可證，由盧旺達國家銀行頒發。

根據一份聲明，擁有這兩個許可證還允許 Flutterwave 部署其包括跨境匯款解決方案在內的一系列產品。包括 Flutterwave 的商店、支付鏈接、發票和結帳在內的產品也將可供盧旺達的個人和企業使用。[2023/3/21 13:15:56]

惡意代幣合約：https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

PancakeSwap交易對：https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

以太坊隱私交易平臺Tornado.Cash上線Flux:金色財經消息，以太坊隱私交易平臺Tornado.Cash上線Flux。Flux表示，Tornado.Cash同時在3個服務器上運行，去中心化且具有抗審查能力。[2022/3/18 14:05:03]

②攻擊者從Rabbit的Bank合約中進行閃電貸，并觸發了StrategyLiquidate的execute方法。

execute方法將輸入數據解碼為LP代幣地址，并進一步得到惡意代幣合約地址。

攻擊者利用惡意代幣合約中的攻擊代碼發起初步攻擊：https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

StrategyLiquiddate合約：https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

Conflux與DEGO達成戰略合作:據官方消息，Conflux宣布與NFT項目DEGO團隊建立合作伙伴關系。通過本次合作，Conflux將為DEGO提供基礎架構支持，雙方攜手深耕NFT領域，發掘區塊鏈技術與NFT的全新應用場景。未來，雙方也將在技術、NFT、社區及商業應用場景進行產品及資源共享。

Conflux網絡作為底層區塊鏈系統，為NFT資產的鏈上確權、抵押、清算速度提升，降低交易成本，增加交易流動性創造了良好的基礎設施，在擴展性、安全性上更適合NFT項目的從無到有、長久繁榮發展。

Dego.finance創造了跨鏈的NFT+DeFi協議和基建設施，致力探索NFT的金融功能性的落地，包括NFT的創建、交易、拍賣與DeFi應用。[2021/3/12 18:38:48]

Conflux技術商務總監尚書：兩大基礎設施突破帶來資產流動性大爆發:1月15日晚，OKExChain主網上線發布會正式啟動，數字資產研究院副院長孟巖、Cobo錢包聯合創始人神魚、共識實驗室創始人任錚等眾多業內大咖受邀參加。

Conflux技術商務總監尚書在圓桌討論中表示，去年有兩個重要基礎設施的突破，一是治理工具的突破，從Compound開始，普通投資者可以直接參與項目治理，而且參與成本在無限降低，另一個是流動性基礎設施的突破，典型代表是Uniswap，通過全新的流動性解決方案把流動性的成本無限降低。

尚書直言，在這兩個問題解決之后，大量長尾應用的構建成本越來越低，我們由此迎來了資產流動性大爆發，高性能公鏈將在2021年承載更大的市場。[2021/1/15 16:17:36]

③惡意代幣合約調用FlurryRebaseUpkeep合約的performUpkeep方法，對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。

Conflux社區負責人：ShuttleFlow的跨鏈協議將推進DeFi生態發展:11月7日 20:00，Conflux社區坤坤作客MXC抹茶社區，就“星火燎原的Conflux”發表觀點。

坤坤表示：“我們開發了名為“ShuttleFlow”的跨鏈協議，可以為用戶提供安全、高效、便捷的資產跨鏈橋梁。目前我們已經遷移過來了數千萬的資產。通過在數字資產和以太坊網絡部署多簽合約地址多簽映射，完成在數字資產及以太坊上通過多簽方式托管用戶資產，以 1:1 映射的方式將 BTC、ETH 和 USDT 等引入到 Conflux 網絡環境中，為推進 Conflux 網絡上 DeFi 生態的發展，創造了良好的環境。”[2020/11/9 12:04:12]

此處的multiplier將用于Rho代幣的余額計算。對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。此處的multiplier將用于Rho代幣的余額計算。該更新基于與Vault合約相關的盈利策略合約里的余額。

更新是在閃電貸的過程中觸發的，此時的閃電貸還未結束，借出的金額也還未歸還，因此Bank合約的當前余額遠小于正常值。此Bank合約也是某個strategy的一部分，因而使得某strategy的余額小于正常值，進一步導致multiplier小于正常值。

FlurryRebaseUpkeep合約：https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

其中一個Vault的合約：https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

④攻擊者歸還了閃電貸的款項并完成了初步攻擊，且為進一步攻擊獲利做好了準備。

⑤在緊接著的交易中，攻擊者以前一次交易中得到的低multiplier存入代幣，將multiplier更新為更高的值，并以高multiplier提取代幣。例如，在其中一筆初步攻擊的交易中，multiplier被更新為4.1598e35。

在進一步攻擊的交易中multiplier被更新為4.2530e35。

攻擊實例：https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

⑥因為multiplier乘數是決定Rho代幣余額的因素之一：

攻擊者的Rho代幣余額在交易中增加了，所以ta能夠從Vault中提取更多的代幣。

⑦攻擊者多次重復這一過程，從Vault合約中盜走了價值29.3萬美元的資產。

寫在最后

該次事件主要是由外部依賴性引起的。

因此CertiK的安全專家建議：項目在與外部合約交互之前應對其安全性有清晰的認知，并且限制外部依賴可能對自身合約的影響。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

Tags：ULTFLUXLUXULTIUltraNote Infinityconflux幣可以挖嗎multi幣最新消息

酷幣交易所