11月3日,知道創宇區塊鏈安全實驗室 監測到 以太坊上的 DeFi 協議 VesperFi Fianance 遭遇預言機操控攻擊,損失超 300 萬美元。知道創宇區塊鏈安全實驗室 第一時間對本次事件深入跟蹤并進行分析。
攻擊分為兩部分:
第一部分:攻擊階段
交易哈希:
0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c5
1.攻擊者向 pool 添加(VUSD 對 USDC 為無窮大)的 0.1USDC 流動性
Meta不再向廣告商推銷元宇宙:金色財經報道,Meta 不再在與廣告商的會議上向廣告商推銷元宇宙。相反,該公司正在鼓勵使用其短視頻產品 Reels,同時還強調其大量的 AI 工具。[2023/4/18 14:10:59]
2.攻擊者通過 Swap 用 232k USDC 兌換走 pool 內正常的 222k VUSD 流動性
星火礦池:從11月1日起將僅保留賬戶挖礦用戶提取已有余額的功能,不再提供其他相關服務:10月26日消息,星火礦池發布公告稱,為依法、有序、穩妥地關停星火礦池的“挖礦”及相關業務活動,公司聯系和聘請了具有區塊鏈專業法律知識和經驗的浙江萬高律師事務所擔任星火礦池“挖礦”及相關業務的關停后續工作的法律顧問,該所也派出了以何家成主任為領頭的區塊鏈專業律師團隊,對星火礦池“挖礦”及相關業務的關停后續工作依法有序穩妥進行提供專業指導,使星火礦池的“挖礦”及相關業務的關停能夠依法有序穩妥的進行。目前,星火礦池的“挖礦”及相關業務活動已經關停,關停后諸如員工的安置、業務的并轉、與管理部門及司法機關的配合等相關后續工作均在萬高律師事務所專業律師的指導下依法有序穩妥的進行。此外,星火礦池從2021年11月1日00:00(UTC+8)開始將僅保留賬戶挖礦用戶提取已有余額的功能(匿名挖礦用戶已完成余額清算),不再提供其他相關服務。此前報道,星火礦池將于9月30日關停所有業務。[2021/10/26 20:58:24]
動態 | PayPal不再提供與論文寫作相關的支付服務 分析認為或推動肯尼亞人對比特幣的需求:據NewsBTC消息,PayPal宣布不再提供與論文寫作相關的支付服務,以此響應英國各大學打擊學術作弊的行動。但有分析認為,此舉也為依賴此類工作第三世界學術作家探索其他支付方式(如比特幣支付)創造了強大的激勵。如一位肯尼亞學術論文撰寫者發文稱,肯尼亞很多畢業生無法找到工作,而主要依靠為其他一些國家的學生撰寫論文獲得高額收入。[2019/4/10]
第二部分:套利階段
0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf8092
1.通過 Swap 將 222k VUSD 兌換為 2205MM fVUSD
2.將 2205MM 抵押置換成其他 pool 基礎代幣
1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?
解決這個問題首先我們要知道 Uniswap V3 使用的預言機為 TWAP 類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在 TWAP 獲取價格的時間周期中。
所以在黑客已經完成攻擊后,他并沒有急于兌換手中的 VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段 10 塊高后。
攻擊交易哈希:
套利交易哈希:
2.至于添加流動性和兌換流動性得到解釋
在 Uniswap V3 中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。因此添加過高的流動性可以讓 TWAP 發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓 TWAP 發現前一步驟以及套利。
本次安全事件的主角雖然是 VesperFi Fianance,但是更讓人關心的是 Uniswap V3 的 TWAP 預言機是否依然安全,可以觀察到并非 TWAP 預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許 pool 內單個代幣不合理的流動性被設置。
Tags:USDVUSDSWAP區塊鏈USD ReceiptVUSD價格SafeMoon Swap哪個是區塊鏈最核心的內容
美國商品期貨交易委員會(CFTC)主席Christopher Giancarlo最近在接受coindesk采訪時透露了加密貨幣交易所Bakkt的比特幣期貨遲遲無法推出的原因.
1900/1/1 0:00:00正如BTC和BCH剛分叉時的那樣,DeFi現在面臨同樣的問題:“流動性挖礦”雖有利可圖,但很難分叉出一個持久的社區。DeFi領域正在涌現各種分叉項目.
1900/1/1 0:00:00北京時間4月4日凌晨時分,美國證券交易委員會(SEC)在官網發布一份關于數字資產作為有價證券框架計劃的聲明,文件中,SEC對人們關心的ICO以及數字貨幣的證券合法性做了陳述.
1900/1/1 0:00:002021 年第一季度標志著期待已久的生態系統戰爭的開始。隨著加密市場繼續吸引主流關注,新發現的散戶進入者將以太坊的費用推高至歷史新高.
1900/1/1 0:00:00據慢霧區消息, 2021 年 9 月 12 日,Avalanche 上 Zabu Finance 項目遭受閃電貸攻擊,慢霧安全團隊第一時間介入分析,并將分析結果分享如下.
1900/1/1 0:00:00PayPal 首席執行官 Dan Schulman 在財報會議上表示,美國人在銀行賬戶之間轉移資金仍然要依賴過時老舊的系統,而數字錢包可以大大提高政府發放刺激支票的效率.
1900/1/1 0:00:00