TPS:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析-ODAILY_HTT

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

Loopring L2现可以低至2.5美元的费用铸造一个NFT:1月8日消息，Loopring发推称，Loopring L2现在可以低至2.5美元的费用铸造一个NFT，这比在以太坊L1上铸造便宜100多倍，与在其他L1和侧链上铸造成本接近，与此同时还提供了以太坊级别的安全性。[2022/1/8 8:34:09]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

攻击步骤

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

光载互联分布式存储负责人李骁宇：未来IPFS和Filecoin可以组成一个网络:金色财经现场报道，由开源矿池和火币主办，金色算力云、链上ChainUP、Filecoin Beijing联合主办的“分布式存储中国行首站暨开源矿池IPFS私享会”2020年11月13日在北京举行。光载互联分布式存储负责人李骁宇在会上表示，Filecoin是基于IPFS上的一个区块链应用，Filecoin和IPFS大家看到好像是两张网，但如果稍微深入了解一下技术，它们背后是一张网，未来IPFS和Filecoin可以组成一个网络。他还表示，2020年IPFS最重要的事情就是主网上线。[2020/11/13 14:13:23]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

声音 | 银湖联合创始人：真正具有革命性和变革性的是拥有一个“全球区块链网络”:据ambcrypto报道，银湖联合创始人Glenn Hutchins表示，真正具有革命性和变革性的是拥有一个“全球区块链网络”，这意味着通过BTC或ETH连接到世界其它区块链，以及拥有可以进行价值转移的全球区块链。加密货币世界包含三个部分：区块链，代币和协议。他们三个一起工作，以创建一个集成的解决方案，并有能力改变我们在全球范围内转移有价值的东西的方式。[2020/1/12]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

漏洞分析

动态 | 美国银行首席执行官：随着加密货币的兴起 我们想要一个无现金社会:据finance消息，美国银行(Bank of America)首席执行官Brian Moynihan最近表示，随着加密货币的兴起，以及PayPal (PYPL)、Zelle和数字钱包等支付系统的出现，超过半数的货币交易已经通过电子方式进行，我们想要一个无现金的社会。银行业务已经数字化，而且将继续以这种方式发展，现在需要考虑的只是想办法增加价值。[2019/6/20]

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

资金去向

攻击者可因此获取大约1000个ETH，所有的资金均被转移至Etherscan并被发送到tornadoproxy。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERTPSHTTcertikBalancerhttps://etherscan.iohtt币局certik币价

Pol币热门资讯