区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > SHIB > 正文

SDT:Formation.Fi 闪电贷安全事件分析_usdt币交易违法吗香港

作者:

时间:

前?

11月21日,知道创宇区块链安全实验室?监测到以太坊上的DeFi协议?Formation.Fi?遭遇黑客攻击,损失近10万美元。实验室第一时间跟踪本次事件并分析。

攻击流程及形成漏洞成因分析

简述攻击流程

首先黑客通过合约0xd02C进行闪电贷借出启动资金200USDT

向合约Vault质押100USDT获得99FormationUSD?

ForTube 披露两周前由安全研究人员发现的漏洞,未造成实际损失:2月22日消息,独立安全研究员 samczsun 披露了一个两周前在去中心化借贷协议 ForTube 中发现的安全漏洞,在 Tina Zhen 的帮助下,他从 ForTube 的漏洞中拯救了超过 1300 万美元的用户资产,避免了被攻击者盗取。ForTube 团队称对合约资产和审计数据进行全面检查后,没有用户因漏洞而造成损失,后续将对智能合约代码进行严格全面的检查,防止此类漏洞再次发生。[2021/2/22 17:40:10]

通过Vault合约swapin函数置换100USDT并附带大量fee

ForTube雷宇:将同步开启H系列资产的借贷挖矿激励计划:9月29日,在以“DeFi再去中心化新基建”为主题的直播活动中,ForTube联合创始人雷宇认为,作为火币“拥抱开放生态”核心战略的重要部分,H系列资产(HBTC、HBCH 等)充当了连接中心化市场和 DeFi 市场的桥梁,将提高去中心化市场的资产上限,推动DeFi 2.0时代的到来。目前,H系列资产的跨链方式,已成为业界最佳的资产跨链解决方案,是DeFi生态新基建的重要组成部分。

雷宇表示,ForTube作为专注于DeFi的应用平台,积极引导BTC资产大量进入HBTC,ForTube为HBTC提供DeFi应用场景,初步取得了H系列资产结合DeFi的双赢局面。随着更多H系列资产的上线,ForTube也会同时启动H系列资产的借贷挖矿激励,以加速H系列资产在ForTube平台的业务量快速启动和增长。[2020/9/29]

调用Vault合约函数withdraw销毁99FormationUSD获得漏洞利润99999USDT

dForce团队证实Lendf.Me遭攻击:dForce借贷市场Lendf.Me在北京时间8点45分(区块高度:9899681)遭受攻击,目前技术团队已经定位问题,并在网页端建议所有用户停止往借贷协议存入资产,进一步消息等待dForce官方公布。目前网站已无法上线,用户反映已经无法提取资产。链上数据显示,黑客以滚雪球的方式多笔转走imBTC,且每一笔都比上一笔翻倍。目前平台上多个资金的利用率已经高达99%,imBTC的资金利用率则为100%。黑客已将资产转入Compound和Aave这两个平台。

Lendf.Me是由dForce主导开发的去中心化借贷市场协议。1天前,一名攻击者通过ERC-777在Uniswap流动性池合约的重入漏洞,对ETH-imBTC池循环套利,造成流动池提供者损失。去中心化交易平台Tokenlon宣布暂停imBTC合约的转账功能。imBTC是一个1:1锚定比特币的ERC-20代币。[2020/4/19]

最后归还闪电贷将获利转到黑客地址

漏洞成因分析

检查源码后发现具体问题主要出在Vault合约函数?swapIn?上,可以看到该函数调用参数?fee?能影响记录着全部代币的变量?totalTokens?的计算,fee越大totalTokens越大。

而在通过函数withdraw实际获取利润时,可以看到实际转账时totalTokens参与了计算,所以当大量的fee被带人totalTokens计算后,会造成withdraw函数的转账超过原本的转账金额。

而造成攻击获利巨大的另个原因是FormationUSD与USDT的小数点数位不同,FormationUSD为18位,USDT为6位。小数点精准数位的差距在实际转账中进一步放大了黑客的收益。

Vault:

TetherToken:

重新梳理攻击过程

第一步:选用USDT作为攻击使用的代币,目的USDT与FormationUSD的小数点精确度不同

第二步:黑客质押100USDT,目的为了后续调用withdraw函数实现套利

第三步:黑客兑换100USDT,目的添加大量的fee提升totalTokens的值

第四步:黑客取回质押的USDT,目的使用提升后totalTokens与利用代币间小数点精确度不同来套取利润

第五步:归还闪电贷,转移套取的利润

总结

本次闪电贷安全事件发生的主要原因在于项目方设计函数?swapIn?时低估了fee对totalTokens的影响,且忽视了不同代币间小数点精确度的影响。

知道创宇区块链安全实验室?再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。

来源:金色财经

标签:FORUSDUSDTSDTFORCE价格gusdt币价格稳定币USDTusdt币交易违法吗香港

SHIB热门资讯
BTC:welnance.finance 事件分析_Nether

前言 11月13日,知道创宇区块链安全实验室?监测到BSC上的DeFi协议welnance.finance遭遇闪电贷价格操控攻击。实验室第一时间对本次事件深入跟踪并进行分析.

区块链:古典投资圈入局 美国对冲基金Coatue正在押注NFT和元宇宙_元宇宙

原文标题:《这家投了美团、滴滴的TMT之王,正在杀入NFT和元宇宙》毋庸置疑,NFT和元宇宙承包了区块链领域上下半年几乎全部热点.

NFT:a16z合伙人:Web3不再需要广告 而是「自我营销」_WEB

10月24日,a16z合伙人ChrisDixon在社交媒体上发布了他对Web2和Web3在推广方式上有何区别的见解.

USDT:区块链在薪酬管理和人力资源方面的三个基本用途_ANONUSD币

在过去的几年里,您可能已经听说了很多关于区块链的信息,以及它具有的多种多样的革命性技术。事实上,Gartner预测区块链将在2030年创造高达3.1万亿美元的商业价值,它的潜力如此之大.

LYG:Idle和Polygon共同出资70万美元一同合作扩展DeFi收益聚合器_GON

总结 IdleLeagues和Polygon团队合作设计了一个生态系统扩展计划,该计划将由65万美元的Matic奖励和5万美元的Idle代币推动.

人工智能:隐私计算词典丨“云”+“计算” = ?(上)_亚马逊

上篇,我们将「隐私计算」拆解为「隐私安全」+「计算」两部分,并针对第一部分「隐私安全」为大家介绍了行业内有关「数据」的名词。此篇,我们来聊聊第二部分——「计算」.