比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > ETH > Info

ARP:精析DeFi協議Warp Finance“預言機”攻擊事件_Pinecone Finance

Author:

Time:1900/1/1 0:00:00

北京時間12月18日6時許,DeFi借貸協議WarpFinance遭到黑客攻擊,造成了近800萬美元的資產損失。

同時,WarpFinance官方也發布推文表示,已在調查違規貸款情況,并建議用戶暫停穩定幣的存入,直到事件真相明朗。成都鏈安團隊在接到區塊鏈安全態勢感知平臺報警后,第一時間對本次攻擊事件進行了調查,結果發現:1、WarpFinance使用的是Uniswap交易對的相對價格作為其預言機的喂價源。2、攻擊者在了解到這個情況后,使用從閃電貸中獲取的巨額資金操縱了Uniswap交易對的價格。3、通過控制預言機喂價源信息,攻擊者破壞了WarpFinance的借款價值判斷標準。4、在WarpFinance錯誤的數據環境下,攻擊者竊取了遠遠超過抵押品價值的資產。5、攻擊者歸還了從閃電貸中借出的款項。

數據:3月比特幣礦工收入為7.554億美元,較上月增長20%:4月4日消息,The Block Research數據顯示,比特幣礦工3月份收入為7.554億美元,較2月份的6.135億美元增長了約20%。其中大部分是區塊獎勵,交易費用收入為2347萬美元。

比特幣挖礦收入在2022年11月和12月降至約4.7億美元,最近幾個月呈上升趨勢。(The Block)[2023/4/4 13:43:15]

攻擊交易地址0x8bb8dc5c7c830bac85fa48acad2505e9300a91c3ff239c9517d0cae33b595090

攻擊過程精析攻擊者首先利用Uniswap進行閃電貸借款,并采用鑲嵌式的手法,在WBTC2、USDC3以及USDT2池中分別進行了WETH借貸,如下圖所示:

加密支付公司Wyre被曝將關閉,CEO回應稱將縮減規模:1月4日消息,據Axios報道,加密支付公司Wyre被曝將清算,并計劃在2023年1月終止服務,2名前員工證實停工消息,Wyre的CEO Ioannis Giannaros回應稱公司仍在運營,但將縮減規模。

此前消息,金融支付公司Bolt Financial曾宣布以15億美元收購Wyre,但該交易在9月份被取消。此外,根據Crunchbase數據,Wyre共計在9輪融資中融資2900萬美元,投資方包括Samsung Next Ventures、Pantera Capital 和 Stellar Development Foundation。[2023/1/4 9:51:01]

Curve將發行首個原生穩定幣:金色財經報道,加密交易流動性池Curve正在尋求推出首個原生穩定幣,該公司首席執行官邁克爾·埃戈羅夫(Michael Egorov)透露,該穩定幣將被超額抵押并擁有超過已發行穩定幣數量的加密貨幣代幣或其他資產儲備,但邁克爾·埃戈羅夫沒有詳細說明將作為新產品儲備的具體資產,也沒有具體說明發布日期。(Blockworks)[2022/7/22 2:30:31]

其后,為擴大用于攻擊的資金量,攻擊者又在dYdX進行了閃電貸借款。如下圖所示:

此時,借出的資金規模已高達近2億美元.接下來,攻擊者向Uniswap的DAI?2交易池中注入流動性,獲取了流動性代幣LP,如下圖所示:

數據:Cardano在日常開發活動中處于領先地位:金色財經報道,根據最近的數據,Cardano是過去24小時內開發最活躍的加密貨幣。Cardano在其公共Github庫中進行的開發活動已經超過了主要的加密貨幣,如以太坊(ETH)和Cosmos (ATOM)。

Vasil的升級有望將Cardano的性能和能力顯著增強,預計包括四個卡爾達諾改進建議(CIPs)。(u.today)[2022/7/13 2:10:49]

?然后,將所獲的LP代幣抵押在WarpFinance合約中,交易及代碼如下圖:

MakerDAO 通過了將 rETH 作為抵押品的提案:6月17日消息,MakerDAO 社區投票通過了將 rETH 作為抵押品的提案,rETH 為去中心化以太坊質押協議 Rocket Pool 的以太坊流動性質押代幣。[2022/6/17 4:34:29]

?完成抵押后,攻擊者利用借來的資金,將UniswapDAI?2池中的DAI兌換殆盡,如下圖所示:

上述“準備工作”完成后,價格已處于被操縱狀態。另一方面,WarpFinance的預言機喂價源是來自Uniswap?LP代幣的價格數據,代碼如下圖:

LP代幣價格算法/LP代幣的總量其中,A代幣與B代幣的價格是由Uniswap的“對應代幣與穩定幣”交易對計算得出。因此,在上述情況下,A、B代幣的價格處于正常水平、而交易對中的A、B代幣相對價格則已經發生異常。這是因為Uniswap采用恒定乘積做市商機制,即A×B=K。當出現大量的兌換某一種代幣時,就會產生巨大的滑點,從而產生價差。假設:A=A代幣數量;B=B?代幣數量;AP=A代幣價格;BP=B代幣價格已知:A×B=k;Warp價格=/totalLP因AP和BP在本事件中皆為恒定,故可設AP=X1×BP,化簡可得Warp價格=/B+B)×BP/totalLP

可得結論為,X1×K

、BP和totalLP在攻擊中都是常數,隨著B的數量增大,LP價格就會提高。攻擊者正是利用了這一點,使用從閃電貸獲取的巨額資金在交易池中海量添加其中一種代幣的流動性,迫使另一種代幣也隨之巨增,從而引發LP的價格失衡。由于LP價格已被操縱,處于一個高位,因此,攻擊者可以借出相比正常量更多的資產。此后,攻擊者即通過調用以下函數進行貸款。

?在成功控制抵押價格后,攻擊者便能利用錯誤的價格數據貸出遠遠超過抵押品價值的資產,從中獲取暴利。最后,攻擊者歸還了閃電貸的款項,如下圖所示:

事件小結很明顯,這又是一起典型的由閃電貸巨款發起的預言機攻擊事件。成都鏈安曾撰文指出,在當前黑客眾多的攻擊手法中,“預言機”喂價控制才是隱形的“元兇”。同時,成都鏈安也鄭重提醒DeFi開發者,應加強預言機的針對性測試,特別是在項目上線前,盡可能模擬價格操控攻擊的各類場景,及時發現問題并找出解決方案,切實提高項目抗預言機攻擊的能力。短短一個月后,巨額的財產損失再一次告誡我們,在區塊鏈領域中,安全防護工作尤為重要,許多系統安全漏洞屬于防不勝防。因此,我們必須采取積極措施形成連續、有效的保護方案,才能在最大程度上提前規避問題。此外,如在DeFi項目運行中存在安防方面的任何技術問題,采取第三方安全技術解決方案不失為一種行之有效的辦法。最后,成都鏈安再次呼吁,要加強對項目預言機等多方面的定期安全檢測,以防范此類事件的再度發生。????

Tags:ARPWARWARPANCWARP價格Inu WarsWARP幣Pinecone Finance

ETH
比特幣:這群多頭仍在狂買,比特幣牛市才剛開始?_Generative GPT

來源:金十數據 周三晚,比特幣又刷新了歷史紀錄——站上了2萬美元大關。時隔三年,比特幣又迎來了一波牛市。一時之間,幣圈狂歡,加密貨幣投資者紛紛驚呼見證奇跡.

1900/1/1 0:00:00
區塊鏈:專訪山大地緯高級副總裁肖宗水:區塊鏈讓公共數據“還數于民”,讓數據更可信服務更精準,帶動數據服務產業發展_Project Oasis

12月19-20日,2020CCF區塊鏈技術大會暨首屆中國濟南區塊鏈產業發展高峰論壇在山東濟南舉行。山大地緯高級副總裁肖宗水分享了山大地緯利用區塊鏈在數據共享開放方面的創新模式和具體做法.

1900/1/1 0:00:00
數字貨幣:外媒:日本有望2023年開發出“類CBDC”數字貨幣_metamask錢包騙局怎么解決

據ambcrypto12月27日報道,日本數字貨幣論壇主席透露,該聯盟希望在2023年之前開發出“某種形式的”數字貨幣.

1900/1/1 0:00:00
比特幣:分析:供需因素雙向推動比特幣價格上漲,這并不會阻止散戶買入_etschain

本文來自?Decrypt,原文作者:ScottChipolinaOdaily星球日報譯者:念銀思唐 摘要 -比特幣不斷增長的需求導致了供應危機.

1900/1/1 0:00:00
比特幣:后2萬美元的生活——比特幣突破歷史新高后將何去何從_加密貨幣

加密貨幣領域一直沉迷于2017年冬季的牛市,但隨著比特幣突破其歷史最高價19655美元,加密世界可能正在向未知領域進發。很多因素的結合為比特幣超越2017年高點創造了合適的環境.

1900/1/1 0:00:00
比特幣:比特幣持有量超過1000枚的地址持續增多,說明什么?_STRONG

比特幣的估值不斷提高,目前正與市場活動規模相匹配,多個指標正在指示變化,并且數字資產行業存在一種緊迫感.

1900/1/1 0:00:00
ads