又现套利攻击!—Goldfinch项目的SeniorPool合约遭受攻击事件分析
2022-06-2816:55:30
2022年6月28日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Goldfinch项目的SeniorPool合约遭受攻击,攻击者累计获利金额为28,523个USDC,项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析,现与大家分享。
COMP价格上涨超21%:金色财经报道,Compound(COMP)的价格截至撰稿时,价格为79.46美元,上涨了21%以上。COMP本周上涨+52.20%。除此之外,COMP的月度表现也引人注目,因为该币的价格在过去30天内上涨了192.92%。截至撰稿,COMP兑BTC上涨24.08%,兑ETH上涨24.11%。COMP目前的市值为619,387,547美元。[2023/7/16 10:58:23]
#攻击过程
攻击交易地址:
0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707
EOA地址(0xB83a2)将120枚ETH转至Tornado Cash:金色财经报道,据CertiK官方推特发布消息称,EOA地址(0xB83a2)将120枚ETH(约21.3万美元)转至Tornado Cash,该笔资金来自在以太坊上被标记为“Fake_Phishing76396”的网络钓鱼地址。[2023/6/21 21:51:21]
攻击者地址:
0x86c595d81c8ab46d893065c3c674da72555fe7c0
攻击者合约:
0x541143d5eb30563a478eea23866e203b7c38c1ca
Brave浏览器发布v1.42更新,Brave钱包已支持Aurora:8月4日消息,据官方公告,Brave浏览器发布v1.42更新,该版本中Brave钱包已支持NEAR生态EVM扩容网络Aurora,还新增了支持通过Ramp 在Solana和Polygon上购买BAT代币。[2022/8/4 2:58:17]
本次攻击存在多笔,我们选取了具体的一笔攻击交易进行分析:
1.?第一步:攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。
2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。
前黑石集团高管:比特币将成为每个人投资组合的一部分:7月18日消息,前黑石公司高管和投资顾问Edward Dowd强调,尽管最近加密货币市场出现动荡,但比特币将继续存在,并将进入每个人的投资组合。
在参加Layah Heilpern的播客节目时,Dowd重申,一旦比特币走向成熟,它将可能击败黄金,因为它具有独特的功能。根据Dowd的说法,尽管黄金仍然是一种可行的投资,但比特币作为一种财富的储存方式有更好的机会。
Dowd认为,加密货币市场可以与互联网时代相提并论,当时大多数公司都倒闭了,而强势的公司却活了下来。Dowd说 ,可以把加密货币比作网络时代,其中90%的公司归于零,10%成为“亚马逊”。加密从业者的工作是弄清楚什么是加密行业的“亚马逊”。我认为比特币有可能成为加密行业的“亚马逊。(Finbold)[2022/7/18 2:21:20]
3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数,把106,667个FIDU代币兑换成113,853个USDC,然后归还闪电贷110,011个USDC,剩余本次攻击获利的3,842个USDC。
漏洞原因为:攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币,来获取SeniorPool合约抵押USDC代币的红利。
目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07,这就产生了套利空间。
图1?Curve中FIDU兑换USDC的比例
图2?SeniorPool合约中FIDU兑换USDC的比例
下面是具体的代码实现:
攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加,攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币,从而获取SeniorPool合约抵押FIDU代币的红利。
总结
针对本次事件,成都链安安全团队建议:
项目方使用新的代币代替FIDU代币为凭据代币,并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。
来源:金色财经
6月12日,世贸组织第12届部长级会议在瑞士日内瓦开幕。来自全球120多个国家和地区的代表齐聚一堂,就疫情应对、渔业补贴、农业改革和WTO改革四大议题进行了重点讨论。此次大会,我国是由商务部部长王文涛率团出席.
1900/1/1 0:00:00对于后市的行情个人依然是看多目前的多头发力空间,以太坊这一波上冲并没有去上破1280压力位,个人认为只是时间的问题,站稳1280位置上涨幅度将会继续加大,需要去重点关注下,比特币23000位置是前两天重点讲到的一个位置.
1900/1/1 0:00:00以太坊的原生代币Ether(ETH)在6月18日跌至880美元的18个月以来的最低水平后经历了大幅反弹。ETH价格两天内回升30%6月19日,以太币的价格达到了1150美元以上,仅在两天内就上涨了30%以上.
1900/1/1 0:00:006月25日,“新理念·新业态·新模式”——2022中国数字艺术峰会正式于线上举行,峰会由中共杭州市拱墅区委员会、杭州市拱墅区人民政府、区块链服务网络、北京大学信息技术高等研究院联合主办,立足推进实施国家文化数字化战略.
1900/1/1 0:00:006月21日,腾讯成立XR部门。同一天,Meta、微软、华为、阿里、英伟达、高通等36家科技企业共同创建了一个名为“元宇宙标准论坛”的组织,成员涵盖芯片厂商、游戏公司以及现有的标准制定组织如W3C。值得玩味的是,腾讯与苹果均未参与.
1900/1/1 0:00:00前言:熊猫是当之无愧的中国文化符号,国际传播中的熊猫形象随之发展演化,不断创新的熊猫形象也传递着中国新形象,随着时代发展,熊猫形象还可以在玩具模型、服装服饰、文学形象、动漫角色、元宇宙空间等领域一展风采,衍生出更多的可能性.
1900/1/1 0:00:00