比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ETH > Info

簡析 Solana 算法穩定幣 Nirvana 被攻擊事件_ANC

Author:

Time:1900/1/1 0:00:00

原文標題:《暴跌 90%!Solana 算法穩定幣新秀 Nirvana 被攻擊事件分析》

撰文:成都鏈安

當你第一次聽到 Nirvana 這個項目時,你的反應是不是也是這樣。

Nirvana,不就是那支享譽全球的涅槃樂隊嗎?

Nirvana,對于一個喜歡搖滾樂的樂迷來說肯定很熟悉,當然,Web3 的項目方取名字也會各種蹭,當時這個算法穩定幣協議 Nirvana 出來時,很多人也在疑惑這個項目是否和這支傳奇樂隊有關聯。

Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

后來事實證明他們毫無關系。

Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

據悉,這個有著 Solana 算法穩定幣新秀的項目,采取雙代幣系統:ANA,一種算法亞穩態代幣,用作財富存儲;由 ANA 作為抵押生成的 NIRV 代幣,是一種去中心化的超級穩定幣,用作價值存儲。

Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;

7. 隨后攻擊者開始重復此過程持續獲利;

其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]

為何這個項目在今日遭受攻擊,請聽我們細細分解。

北京時間 7 月 28 日中午,成都鏈安鏈必應 - 區塊鏈安全態勢感知平臺輿情監測顯示,基于 Solana 的去中心化算法穩定幣協議 Nirvana 遭遇攻擊,其穩定幣 NIRV 價格從 1 美元一度跌至 0.09 美元,目前反彈至 0.11 美元,最大跌幅超過 90%;ANA 代幣價格從 8.9 美元一度跌至 1.5 美元,跌幅高達 85%。

我們統計資金損失時,發現項目方損失約 357 萬美元。

攻擊發生時海外正值深夜,大概項目方工作人員還在睡夢中。成都鏈安安全團隊的小伙伴,立刻跟進此事件,現將本次事件簡單分析如下。

(以下直接進入技術代碼分析狀態)

第一步,攻擊者通過調用 solend 協議的 flash loan 指令,借來了 1025WUSD,隨后調用了 Nirvana 程序中的 Buy3 指令,此時根據兌換比例可以算出此時 USD/ANA 為 8.72,兌換后價格為 24.27,此時兌換前價格 / 兌換后價格約為 1/3。

第二步,攻擊者開始進入「黑化狀態」,兩次調用 swap 指令將獲得的 ANA 兌換為 USD,價格隨后分別跌至 22.73,16.47。

第三步,成都鏈安安全團隊通過 Github 搜索關鍵字[nirkXSE28jCQoK8SmKWqxXz3L9vbSRGKS24iYJj8Aeo]相關項目,但未發現存在 buy3 指令。

第四步,被盜資金目前以通過跨鏈橋轉移到以太坊上。成都鏈安鏈必追將持續對資金地址進行分析和追蹤。

根據 Odaily 星球日報的報道,「Nirvana」目前資產缺口超過 1200 萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。「Nirvana」要想繼續存活,也許可以效仿競品 Beanstalk Farms 進行眾籌。

好了,今天的分享就結束了,后續有動向我們將持續跟進此事件。

Tags:USDNCEANCVESTUSDH價格Taxi.FinanceAnchorSwapInvestroAI

ETH
如何構建以及衡量一個成功的 Web3 社區?_WEB3

一份針對 Web3 創始人和建設者的精煉見解指南。撰文:bethanymarz.eth 編譯:DeFi之道 這是一份針對 Web3 創始人和建設者的精煉見解指南.

1900/1/1 0:00:00
新聞周刊 | 《時代》雜志最新封面文章:元宇宙將重塑我們的生活_比特幣

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.

1900/1/1 0:00:00
速覽高盛等華爾街銀行巨頭的加密布局_以太坊

原文標題:《盤點華爾街銀行巨頭們布局的 12 家加密初創公司》撰文:Carter Johnson 和 Bianca Chan 編譯:PANews 盡管當下加密市場正在經歷史上最嚴酷的「寒冬」.

1900/1/1 0:00:00
基于區塊鏈+隱私計算技術的數據共享平臺初探_ASH

現今,數據已然成為了比肩石油的基礎性關鍵戰略資源,正顛覆各個行業的發展模式。隨著數字經濟的建設以及數據產業市場規模的迅速擴大,數據在各行業領域不斷地產生、流動、交換.

1900/1/1 0:00:00
元宇宙究竟怎么搞 地方措施來了_API

自從元宇宙進入公眾視野,在歷經近幾年的迅速發展之后,這個看上去似乎“不接地氣”的概念正在一步步落地.

1900/1/1 0:00:00
從五大維度數據解析以太坊合并前后的變化_POS

原文作者:?Breeze1,以太坊合并是為了分片做準備,其次才是環境更友好,更高的安全性和去中心化程度。2,主網合并的復雜度遠超測試網,我們對9月19日能否如期合并持悲觀態度.

1900/1/1 0:00:00
ads