比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

ETH:一個小數點造成數百萬美元蒸發,Fantasm Finance攻擊事件分析_ethereum官網

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

安全公司Zellic發現WETH中一個輕微且無害的錯誤:11月19日消息,安全公司Zellic研究發現了WETH中一個輕微且無害的錯誤,由于不考慮SELFDESTRUCT/coinbase eth傳輸,通過SELFDESTRUCT(自毀)函數將ETH注入WETH合約中,會增加合約中的ETH余額,但不會鑄造任何新Token,使得WETH合約中totalSupply函數變量不同步,即WETH Token的總量是小于或等于WETH中的原生ETH余額。

目前在整個以太坊主網上,WETH已參與超過1.25億筆交易,有超過7%的以太坊交易涉及WETH;此外,在過去一年中,在4.2億次以太坊交易中,其中的11.5%涉及WETH。[2022/11/20 22:07:49]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

Loopring L2現可以低至2.5美元的費用鑄造一個NFT:1月8日消息,Loopring發推稱,Loopring L2現在可以低至2.5美元的費用鑄造一個NFT,這比在以太坊L1上鑄造便宜100多倍,與在其他L1和側鏈上鑄造成本接近,與此同時還提供了以太坊級別的安全性。[2022/1/8 8:34:09]

②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。

Alchemy Insights CEO:NFT是第一個真正使加密成為主流的應用:金色財經報道,Alchemy Insights聯合創始人兼首席執行官Nikil Viswanathan在Ethereal峰會表示:“我認為NFT是第一個真正使加密成為主流的應用。最初比特幣是,它是價值的存儲,然后是ICO,然后是DeFi和NFT。”[2021/5/8 21:35:57]

④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。

在函數calcMint中,合約使用以下公式來計算鑄幣量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

聲音 | 何一:如果USDT出狀況對行業是一個打擊:4月30日,幣安聯合創始人何一在鏈節點回答網友提問表示,目前已經有越來越多的穩定幣,而不僅僅是USDT一個選擇,但如果USDT出狀況對行業是一個打擊,所以需要整個行業共同的努力,我們也在了解信息過程中。此外,對網友提問“請問bnb接下來要出合約和穩定幣嗎?”,何一回答表示,一切皆有可能。[2019/4/30]

由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

參考鏈接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags:ETHCERTPSHTTethereum官網ceres幣價格趨勢tps幣圈BHTT

萊特幣價格
KEX:BKEX 關于\"BridgeOracle黑客事件\"解決方案的公告_balance

尊敬的用戶:??????????由于BridgeOracle項目團隊在2021年5月17日凌晨24時,因團隊疏忽管理問題,導致項目私鑰被黑客盜取,并增發大量代幣造成了市場大跌.

1900/1/1 0:00:00
NFT:NFT數據日報 | 24小時NFT成交量上升47.48%(3.10)_Ethereum Yield

NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.

1900/1/1 0:00:00
OKB:歐易關于上線 Jumpstart 項目 ORB(KlayCity)打折銷售的公告_DeFi Forge

尊敬的歐易用戶: 歐易Jumpstart將于2022年3月21日10:00開啟ORB打折銷售。 一、預約細則 1、預約時間:2022年3月21日10:00至18:00HKT2、銷售價格:1ORB.

1900/1/1 0:00:00
GAT:Gate.io 首發上線Startup項目Galaxy Blitz(MIT)及免費認購規則公告(免費瓜分70,000 個MIT)_Stargram Coin

關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
唯客于本日19:00優化后強制更新公告

尊敬的唯客用戶您好! 為了提升服務質量,進一步優化您的交易體驗,唯客于03月11日19:00已進行系統升級.

1900/1/1 0:00:00
DCO:Dcoin第二屆實盤大賽開賽,最高瓜分獎金30萬usdt!大咖云集,誰是交易之王?_COIN

Dcoin第二屆實盤賽精英第二屆實盤精英賽開始啦,參加統一賬實盤交易可以瓜分30萬USDT!1.活動介紹1)活動時間2022月3月16日14:00-20223月24日14:002.活動內容本次活.

1900/1/1 0:00:00
ads