ULT:Flurry Finance被盜事件分析：項目不立于「危墻之下」-ODAILY_LUX

北京時間2022年2月22日下午1:46，CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動，FlurryFinance的Vault合約受到攻擊，價值約29.3萬美元的資產被盜。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

攻擊步驟

①攻擊者部署了一個惡意代幣合約，并為代幣和BUSD創建了一個PancakeSwap交易對。

攻擊者：https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

Web3協作平臺Dmail與Conflux集成，為Conflux用戶提供加密通信服務:金色財經報道，Web3協作平臺Dmail宣布集成Conflux Network，支持Conflux用戶登錄Dmail并收發Web3加密郵件。據悉，Dmail已與眾多DID項目合作，支持ENS、Lens、BAB、Unstoppable、SPACEID、.bit、JAZDID、HashKey DID持有者免費鑄造Dmail域名郵箱，享受加密通信服務，目前已有90000個獨立地址持有11.7萬個Dmail的Social Credential。[2023/3/6 12:44:23]

惡意代幣合約：https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

Goblin Sax收購即時貸款應用Fluid:金色財經報道，去中心化自治組織 Goblin Sax 收購了即時貸款應用Fluid，該應用程序將更名為 Goblin Lend。以在其現有的點對點 NFT 借貸服務之外構建該產品。[2022/11/2 12:10:35]

PancakeSwap交易對：https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

②攻擊者從Rabbit的Bank合約中進行閃電貸，并觸發了StrategyLiquidate的execute方法。

execute方法將輸入數據解碼為LP代幣地址，并進一步得到惡意代幣合約地址。

攻擊者利用惡意代幣合約中的攻擊代碼發起初步攻擊：https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

西班牙加密貨幣交易所Bit2Me收購秘魯交易所Fluyez:7月21日消息，西班牙加密貨幣交易所 Bit2Me 收購秘魯加密貨幣交易所 Fluyez 85% 的股權。Bit2Me 首席運營官 Andrei Manuel 表示，收購價格超過 100 萬歐元，但未透露具體數字。Andrei Manuel 還表示，收購后該交易所不會更名，也仍將由 Fluyez 聯合創始人兼首席執行官 Luis Eduardo Berrospi 負責。此外，Bit2Me 正在就收購智利的交易所進行談判，且還在關注哥倫比亞和烏拉圭等拉丁美洲國家的交易所。（CoinDesk）[2022/7/21 2:28:24]

StrategyLiquiddate合約：https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

Conflux迎來重大升級 將引入EVM兼容空間及PoS鏈:2月26日消息，Conflux網絡在區塊數92060600或區塊高度36935000（2022年2月23日12時）至區塊高度37400000（預計3月1日24時）期間進行Hardfork升級，升級后的網絡名稱將由Conflux Tethys 網絡升級為Conflux Hydra網絡。版本號升級為Conflux v2.0.0-fix。

在本次升級中，Conflux將引入EVM兼容空間及一條獨立的PoS鏈，并開放PoS質押機制。

本次升級中將激活并實施包括CIP-43、CIP-64、CIP-71、CIP-76、CIP-78、CIP-86、CIP-90、CIP-92等8個不同的CIP（改進提案）的更改。

除上述兩個主要升級外，本次升級還引入其他多項升級，如新增一組PoS相關的公共RPC方法、縮短難度調整周期、移除同步塊中與虛擬機相關的約束、允許合約開發人員禁用合約的反可重入性等等。

本次升級不影響用戶正常使用Conflux網絡。但鑒于升級期間出現網絡不穩定或操作延遲的概率會增加，建議用戶避開升級期間進行操作，以免造成財產損失。[2022/2/26 10:17:47]

澳大利亞選舉委員會正考慮撤銷區塊鏈政黨Flux Party登記:1月14日消息，澳大利亞選舉委員會（AEC）正打算撤銷一個聲稱可以提供“民主即服務”（democracy as a service）政黨的登記。2016年成立的Flux Party曾宣稱要改變澳大利亞的民主，而且將不采取任何政策來實現這一目標。Flux打算使用一個基于區塊鏈的智能手機應用程序，以便其成員能夠就潛在議員的投票方式進行投票。然而數年后該政黨已經難以為繼。AEC指出，“2022年1月13日，Joanne Reid作為選舉委員會代表向該政黨發出通知，聲明選舉委員會正在考慮根據《1918年聯邦選舉法》第137(1)(b)條撤銷該黨的登記。”（Zdnet）[2022/1/14 8:49:04]

③惡意代幣合約調用FlurryRebaseUpkeep合約的performUpkeep方法，對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。

此處的multiplier將用于Rho代幣的余額計算。對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。此處的multiplier將用于Rho代幣的余額計算。該更新基于與Vault合約相關的盈利策略合約里的余額。

更新是在閃電貸的過程中觸發的，此時的閃電貸還未結束，借出的金額也還未歸還，因此Bank合約的當前余額遠小于正常值。此Bank合約也是某個strategy的一部分，因而使得某strategy的余額小于正常值，進一步導致multiplier小于正常值。

FlurryRebaseUpkeep合約：https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

其中一個Vault的合約：https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

④攻擊者歸還了閃電貸的款項并完成了初步攻擊，且為進一步攻擊獲利做好了準備。

⑤在緊接著的交易中，攻擊者以前一次交易中得到的低multiplier存入代幣，將multiplier更新為更高的值，并以高multiplier提取代幣。例如，在其中一筆初步攻擊的交易中，multiplier被更新為4.1598e35。

在進一步攻擊的交易中multiplier被更新為4.2530e35。

攻擊實例：https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

⑥因為multiplier乘數是決定Rho代幣余額的因素之一：

攻擊者的Rho代幣余額在交易中增加了，所以ta能夠從Vault中提取更多的代幣。

⑦攻擊者多次重復這一過程，從Vault合約中盜走了價值29.3萬美元的資產。

寫在最后

該次事件主要是由外部依賴性引起的。

因此CertiK的安全專家建議：項目在與外部合約交互之前應對其安全性有清晰的認知，并且限制外部依賴可能對自身合約的影響。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

Tags：ULTFLUXLUXMultiplierCOFFE Multichainconflux幣價格變化FLuX幣在哪個交易所交

DYDX