北京时间2022年5月30日21::46:19,,CertiK审计团队监测到一起针对MirrorProtocol的攻击。截至撰稿时,总损失约为200万美元。
此次攻击的主要原因在于Terra验证节点在分叉后没有更新,导致价格预言机不准确——报告了LUNA,而非实际的LUNC。
这使得用户通过抵押LUNC借贷到的资产远大于提供抵押的金额。
漏洞交易
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
Multichain跨链基础设施zkRouter计划于2月上旬发布测试网:1月24日消息,跨链互操作协议 Multichain 宣布,其推出的基于零知识证明的跨链基础设施 zkRouter 计划于 2 月上旬发布测试网,将允许以太坊与 Fantom 之间的跨链。
据悉,zkRouter 可用于支持跨链桥、可信链上预言机、智能合约互操作性、跨链交易、多链代币及 NFT 等。[2023/1/24 11:28:49]
参考:https://forum.mirror.finance/t/another-exploit/3511
攻击步骤
该次攻击中有多笔用户存入LUNC并借贷其他资产的交易。
票务公司Ticketmaster基于Flow区块链铸造门票NFT,试点计划铸造超500万Flow NFT:8月31日消息,美国最大票务公司Ticketmaster宣布,将采用Dapper Labs的Flow区块链铸造选定活动的门票NFT。
据介绍,在过去的六个月里,Dapper Labs和Ticketmaster启动了NFT试点计划。在其中,Ticketmaster向今年超级碗LVI等特定活动的参与者发放门票NFT作为纪念品。据Dapper称,在试点计划中,在六个月内铸造了超过500万Flow NFT。(Decrypt)[2022/8/31 13:00:35]
某次交易示例如下:
由于Terra验证节点没有及时更新价格预言机,该笔交易允许攻击者抵押10万枚LUNC贷款30,275枚DOT。
Chainlink喂价上线Terra测试网:10月26日消息,Chainlink喂价上线Terra测试网,为其DeFi生态系统带来优质市场数据。[2021/10/26 20:56:46]
漏洞分析
在Terra分叉之后,现在的Terra已分为:
①TerraClassic,LUNA价值0.0001美元。
②Terra2.0,其LUNA价格约为5美元。
Mirrorprotocol运行于旧的Terra链上,并使用TerraClassic提供的价格预言机服务来确定LUNA价格。
DIA、ANT即将上线TokenBetter:据TokenBetter官方公告,DIA、ANT将于2020年8月26日16:00(UTC+8)上线TokenBetter创新区并开放DIA/USDT、ANT/USDT交易对。
DIA(DecentralisedInformationAsset)去中心化信息资产,是一个开放源代码的金融信息平台,它利用加密货币经济激励措施来获取和验证数据。市场参与者可以提供,共享和使用金融和数字资产数据。DIA由DIA令牌持有者及其代表的分散社区管理。
Aragon是以太坊区块链上的一个可以让任何人创建和管理任意组织(公司、开源项目、非政府组织NGO、基金会、对冲基金…)的DAPP。Aragon Network(阿拉贡)是一个由代币控制的数字管理组织,专注于为经济增长创造最好的条件。[2020/8/25]
然而,一些验证者在TerraClassic分叉后并没有更新他们的软件,并且报告的是分叉后的LUNA价格而非LUNC的价格。
例如在下方这笔交易中,TerraClassic的验证节点报告的LUNC价格约为5美元,而不是0.0001美元。
在正常情况下,假如一个用户想在Mirrorprotocol上进行贷款,他需要提供更多的抵押品以进行借贷,比如提供2万美元的抵押来借贷1万美元。
也就是需要提供整整2亿枚价值0.0001美元的LUNC代币来进行抵押,但如果是使用价值5美元的LUNA,则只需要提供4000枚。
然而,由于一些验证器已经过时,导致预言机提供了LUNA的价格而非LUNC的价格,攻击者仅需提供4000枚LUNC即可借贷到1万美元。
目前,如Orion.money的部分验证者已修复该漏洞:
Orion.money昨日提供的LUNA价格
Orion.money今日提供的LUNC价格
资产去向
据FatManTerra证明,Mirrorprotocol的损失已达200万美元。
因价格预言机导致的攻击事件绝非一例,预言机不应成为链上「套利」专用工具。
加密领域安全风险层出不穷,项目团队应尽可能提高相关警惕并时刻关注安全事件以自查,并及时完善和审计合约代码。
参考链接:
https://twitter.com/FatManTerra/status/1531365988809293825
https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791
https://forum.mirror.finance/t/another-exploit/3511
https://twitter.com/ChainLinkGod/status/1531384782046711808
https://twitter.com/blockpane/status/1531369644531101696
https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit
标签:LUNTERSTAMOOlunr币是什么币Waterfall Governance Tokenstarl币白皮书Moon Maker Protocol
声明:本文仅作为行业研究探讨,不代表任何投资建议。 市场前瞻 2022年7月13日,美元和欧元的汇率达到了1:1,这无疑是见证历史的一刻.
在冻结用户提款和转帐约一个月后,加密货币借贷平台Celsius今日正式宣布,该公司已自愿向纽约南区声请破产保护,成为继三箭资本、VoyagerDigital之后.
最新数据显示,截至8月1日,JustLendDAO借贷市场中存款APY最高的是BTT,达到18.56%,其次是WIN和JST,分别达到15.59%、14.32%.
本周摘要: -比特币和美国股市的相关性上周持续下降,美国股市反弹,而比特币仍处于低位。这说明了什么?市场将如何反应?-FOMC将在6月份开始收缩资产负债表.
由法定货币支持的稳定币将被视为一种支付方式,英国监管机构周三向该国议会提交了管理稳定币使用的新规则。这份期待已久的金融服务和市场法案得到了英国财政部长NadhimZahawi的支持.
据官方消息,Travala.com现已新增去中心化超抵押稳定币USDD作为支付方式,用户可通过USDD支付旅游订单.
区块见闻