区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Pol币 > 正文

TPS:一个小数点造成数百万美元蒸发,Fantasm Finance攻击事件分析-ODAILY_HTT

作者:

时间:

北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

Loopring L2现可以低至2.5美元的费用铸造一个NFT:1月8日消息,Loopring发推称,Loopring L2现在可以低至2.5美元的费用铸造一个NFT,这比在以太坊L1上铸造便宜100多倍,与在其他L1和侧链上铸造成本接近,与此同时还提供了以太坊级别的安全性。[2022/1/8 8:34:09]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

攻击步骤

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

光载互联分布式存储负责人李骁宇:未来IPFS和Filecoin可以组成一个网络:金色财经现场报道,由开源矿池和火币主办,金色算力云、链上ChainUP、Filecoin Beijing联合主办的“分布式存储中国行首站暨开源矿池IPFS私享会”2020年11月13日在北京举行。光载互联分布式存储负责人李骁宇在会上表示,Filecoin是基于IPFS上的一个区块链应用,Filecoin和IPFS大家看到好像是两张网,但如果稍微深入了解一下技术,它们背后是一张网,未来IPFS和Filecoin可以组成一个网络。他还表示,2020年IPFS最重要的事情就是主网上线。[2020/11/13 14:13:23]

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

声音 | 银湖联合创始人:真正具有革命性和变革性的是拥有一个“全球区块链网络”:据ambcrypto报道,银湖联合创始人Glenn Hutchins表示,真正具有革命性和变革性的是拥有一个“全球区块链网络”,这意味着通过BTC或ETH连接到世界其它区块链,以及拥有可以进行价值转移的全球区块链。加密货币世界包含三个部分:区块链,代币和协议。他们三个一起工作,以创建一个集成的解决方案,并有能力改变我们在全球范围内转移有价值的东西的方式。[2020/1/12]

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。

漏洞分析

动态 | 美国银行首席执行官:随着加密货币的兴起 我们想要一个无现金社会:据finance消息,美国银行(Bank of America)首席执行官Brian Moynihan最近表示,随着加密货币的兴起,以及PayPal (PYPL)、Zelle和数字钱包等支付系统的出现,超过半数的货币交易已经通过电子方式进行,我们想要一个无现金的社会。银行业务已经数字化,而且将继续以这种方式发展,现在需要考虑的只是想办法增加价值。[2019/6/20]

在函数calcMint中,合约使用以下公式来计算铸币量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

资金去向

攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签:CERTPSHTTcertikBalancerhttps://etherscan.iohtt币局certik币价

Pol币热门资讯
AND:元宇宙发展状况之「尚未确定」项目调研(2)-ODAILY_ETA

具体项目调研 下面将按不同分类以及元宇宙开放程度,对上述项目做具体的分析。分类方式介绍:将对项目分为“可编辑空间或可进入空间游玩”,“与DeFi结合”,“尚未确定”三个大类别;同时将根据“具有本.

ACK:DAOrayaki:轻量级MACI匿名化协议-ODAILY_SACK

https://doraresear.ch/2022/04/30/light-weight-maci-anonymization/ 更多阅读: 1.

SEA:GMT何时跌落神坛?暴富VS暴负-ODAILY_MAC

各位看众,当你看到这个标题的时候,作为加密眼界实习生的我已经爆仓了,空不动了。 Stepn作为一款跑步游戏,产品的强大社交属性,很容易裂变,短短几天内风行币圈,数以亿计的资金不断融进市场,看好的.

加密货币:扎克伯格没完成的使命,孙宇晨接棒了-ODAILY_USD

2019年,扎克伯格旗下的Facebook发布Libra白皮书,试图创造一个符合互联网时代特点的超越主权范围的加密币,但仅仅运行数月,Libra协会就突然瓦解.

LIB:How to NFT 6:游戏-ODAILY_Liberty

游戏总是被垄断在中心化的企业实体手中,游戏的开发商或发行商对游戏中的虚拟经济有严格限制。玩家不能自由交易他们在游戏中的物品和资产,通常需要非法使用第三方平台,依靠不安全的P2P交易来完成.

AIN:除了提供数据和API服务之外,企业还能如何在智能合约经济中变现?-ODAILY_CHA

区块链技术的核心价值主张正在从cryptocurrency转向智能合约,这与当年互联网从电子邮件发展至万维网的路径如出一辙。智能合约效率更高且对手方风险更小,因此势必将成为主流的数字协议.