区块见闻 区块见闻
Ctrl+D收藏区块见闻

区块链:首发 | 一个小数点造成数百万美元蒸发 Fantasm Finance攻击事件分析_区块链通俗易懂的讲解

作者:

时间:

北京时间2022年3月9日21:50,CertiK安全专家团队检测到Fantasm Finance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH(价值约270万美元)。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

LBank蓝贝壳于5月3日20:00首发 CSPR(Casper),开放USDT交易:据官方公告,5月3日20:00,LBank蓝贝壳上线 CSPR(Casper),开放USDT交易,同时并开放充值,资料显示,Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用,同时确保随着网络参与者需求的发展,其在未来仍能保持高性能。[2021/5/3 21:19:51]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

LBank蓝贝壳于4月10日01:00首发 BOSON,开放USDT交易:据官方公告,4月10日01:00,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日23:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月10日01:00开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/7 19:54:33]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

IMEOS首发 EOS Go公布新增两条复选条件 :据金色财经合作伙伴IMEOS报道:今日,EOS Go在 steemit上公布新增的两条复选条件为:

1. 保证安全的计划:候选节点是否在steemit上发布文章介绍该节点的安全方法和计划,“安全方法”标准是向EOS选民展示安全最佳实践知识和组织实施计划的机会;

2. 立场:描述该节点分享通胀奖励和/或向EOS代币持有人派发股息的立场(候选节点在steemit发布)。主要阐述以下两个问题:

该组织是否会出于任何原因向EOS令牌选民提供支付,包括BP选举和社区建议?

该组织是否有书面的无票付款政策?如果是这样,请提供一个链接。[2018/4/27]

④攻击者多次重复步骤②和③,造成Fantasm Finance巨额损失。

在函数calcMint中,合约使用以下公式来计算铸币量:

_xftmOut = (_fantasmIn * _fantasmPrice * COLLATERAL_RATIO_MAX * (PRECISION - mintingFee)) / PRECISION / (COLLATERAL_RATIO_MAX - collateralRatio) / PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan(地址为0x47091e015b294b935babda2d28ad44e3ab07ae8d)并被发送到tornado proxy。

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特[https://twitter.com/CertiKAlert]进行了播报。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2. https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3. https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4. https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5. https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6. https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7. https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签:TPSHTTCER区块链tps币行情CHTT币SOCCER币区块链通俗易懂的讲解

比特币价格实时行情热门资讯
区块链:监管部门重申严打炒币行为:区块链不等于虚拟货币_KFI

虚拟货币炒作近期出现重新“冒头”趋势。据相关部门监测,比特币价格最近一段时间飙升了40%;甚至有言论说“94禁令”已经过时,会抑制社区发展;还有一些机构打着“区块链”名义搞非法金融活动……对此,

LOCK:G20 正式支持 FATF 加密资产监管指南 要求交易所共享用户数据_blockchain平台靠谱吗

二十国集团(G20)正式表示支持全球反监管机构金融行动特别工作组(FATF)制定的加密资产准则.

DEPO:藏在EOA地址里的魔法:Qubit Finance 被黑分析_POSI

2022 年 1 月 28 日,一大早醒来就看见 ps 那边预警了 Qubit Finance 被黑了。有点惨,这是印象中 pancake bunny 项目不知道第几次被黑了(这里默哀。。).

HTT:如果牛市还在 DeFi代币价格何时回升就看这3大指标_ANC

本文来自Messari,作者Mira Christanto虽然DeFi在过去一年才刚刚繁荣起来,但基本面投资者已经越来越多地从单纯的MEME驱动转向对链上数据进行分析.

LIBRA:盘点央行官员重要观点:Libra 对于央行数字货币有什么启发?_treeswap币价格

近期,国家央行就 Facebook 稳定币项目 Libra 频频发声。7 月 8 日,在数字金融开放研究计划启动仪式暨首届学术研讨会上,央行研究局局长王信介绍了央行对 Facebook Libr.

稳定币:北京互金协会:防范以IEO、稳定币等为名义的非法金融活动_Custody Token

3月21日晚间,北京市互联网金融行业协会在官网发布了《关于防范以“虚拟货币”“ICO”“STO”“稳定币”及其他变种名义进行非法金融活动的风险提示》.