TIK:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析_tps币行情

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

a16z合伙人：加密市场低迷给风投公司更多投资机会，希望创造一个更好的互联网:8月23日消息，a16z合伙人Chris Dixon在接受《金融时报》采访时表示，目前的加密市场低迷给风险投资公司更多的投资机会。目前互联网上的权力由一小部分公司掌握。我们可以做的是创造一个更好的互联网，创造新的系统，让网络效应累积到社区而不是公司。（CoinDesk）[2022/8/23 12:43:10]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

Cardano创始人：未来我们将拥有一个合法的稳定币:5月26日消息，Cardano创始人、IOHK首席执行官Charles Hoskinson在接受采访时表示，央行货币政策的长期连锁反应，将导致中小企业资金外流，同时为华尔街和富人提供支持。而随着各国走出衰退或萧条的阴影，加密货币将有机会挑战现有的金融体系。Hoskinson认为，加密货币取代法定货币取决于其创造信贷和有效利用现代金融服务原则的能力。现代金融服务原则可使缺乏资本的人能够通过借钱去购买房屋和汽车等大资产，但是这将要求加密货币摆脱其标志性特征：易受价格剧烈波动的影响。而将债务信贷制度化是一项非常困难的事情。它需要稳定的资金，因为借贷方需要以一种具有可预测价值的方式偿还贷款。因此，除非加密货币能够成为当前银行体系的另一种信贷体系，否则它永远不会取代法币。另外，Hoskinson补充说，“但是我们已经进行了足够多的货币创新，我认为在未来5到10年内，我们将有一个合法的稳定币，能够在我们的生态系统中获得良好的稳定性。”（Dailyhodl）[2020/5/26]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

声音 | EOS Node One：eosleo.io是模仿eosbet的一个网站:据EOS Node One的消息，eosleo.io是一个网站，模仿成eosbet的网页，EOS Node One提醒人们在连接scatter之后，不要连接此网站首页和处理任何交易。[2018/9/8]

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

金色财经现场报道 硬币资本创始人李笑来：区块链不是一个行业或产业，区块链是整个世界:金色财经前方记者实时报道，4月9日，“中国杭州区块链产业园” 启动仪式在杭州未来科技城举行。启动仪式上硬币资本创始人李笑来以“区块链如何改变世界”为主题发表了演讲。他说，到现在为止自己感觉最自豪的事情就是从来没有对别人宣传过比特币。他解释说，因为真正好的东西不需要宣传，而不好的东西宣传了也是徒劳。他以互联网改变世界为例，称区块链技术是一场全社会的试验。他表示，区块链不是一个行业或产业，区块链是整个世界，中国一定是最大的市场。[2018/4/9]

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERHTTTPSTIKcere币发行量CHTT价格tps币行情STIK币

LTC热门资讯