北京时间2022年4月28日10:40:14,CertiK审计团队监测到DEUSFinance的合约被恶意攻击,造成了约1570万美元的损失。
攻击者恶意操纵DEI的价格,从DeiLenderSolidex合约中通过提供少量的抵押品提取了大量的DEI。
韩联社:处罚加密市场操纵行为的立法或会由韩国国会制定:韩联社今日刊文称,通用于所有交易主体的加密货币操纵行市处罚,随着国会立法的推进,逐渐获得推动力。但是,金融当局表示:“不能认定加密货币是金融商品。”因此,能否像资本市场法中规定的股票一样,对加密货币操纵行情进行处罚还是未知数。最近韩国金融委员会制定了关于《特定金融交易信息法施行令》修订计划。其中包括,禁止加密资产经营公司和职员通过相关经营公司进行加密资产交易的行为。也就是说,为杜绝企业家操纵股价的可能性,要限制交易。即使修改了特别法的执行令,问题仍然存在。这是因为它旨在限制交易以阻止经营者操纵市场的可能性,但并不意味着制定适用于所有交易主体的市场操纵法规。因此,极有可能由国会颁布有关市场价格操纵的规定。政府的立场是,很难将适用于资本市场的价格操纵指控直接应用于加密货币,因此预计立法程序会受到影响。[2021/6/6 23:15:39]
漏洞交易
末日博士:比特币是有史以来最受操纵的资产:在BTC于48小时内从19400美元跌至16300美元的价格区间后,末日博士Nouriel Roubini发推文称,比特币是有史以来最受操纵的资产。他解释说,就像2018年一样,被操纵市场的鲸鱼所蒙蔽的容易受的散户将再次陷入困境。[2020/11/27 22:16:31]
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
攻击步骤
动态 | 加密货币交易所Yobit疑似将参与价格操纵:据zycrypto消息,加密货币交易所Yobit日前发布的一条推文显示,该交易所正积极参与加密货币的价格操纵。Yobit在推特上透露:我们将每1-2分钟使用一枚BTC购买一种随机加密货币(总购买金额为10BTC)。将交易者和众多加密货币交易所联系在一起的数字货币交易平台Coinigy在最近的一条推文中透露了Yobit的计划。因为该计划将对市场上的加密货币的价值产生负面影响,Coinigy考虑将Yobit从起平台上移除,但在此之前需要征询加密社区的想法。对此,已有加密社区的成员表示赞成。[2018/10/11]
①攻击者部署攻击合约并向借贷池DeiLenderSolidex合约提供抵押。
Bitfinex CEO:Bitfinex或泰达币从未从事过任何形式的操纵:据Blockchain News消息,Bitfinex CEO JL van der Velde表示,Bitfinex或泰达币从未从事过任何形式的市场或价格操纵,发行泰达币不能用来支撑比特币的价格,也不能用来支撑Bitfinex平台上的其他代币。[2018/6/13]
②随后攻击者利用攻击合约获得了超过143,200,000USDC用以发起攻击。
③攻击合约将这143,200,000个借得的USDC在USDC/DEI交易对池0x5821573中换为9,547,716个DEI,此举导致DEI的价格被大幅提高。
④由于DeiLenderSolidex合约是用预言机来确定用户抵押品的价值,而预言机合约使用被恶意操纵的交易对池的价格作为价格来源。因此通过提高的价格和之前提供的抵押,攻击者可从借贷池中总计借贷到17,246,885DEI,这一数额远大于之前攻击者提供抵押的金额。
⑤攻击者用9,547,716个DEI交换到的143,184,725USDC来偿还闪电贷款,最终获取差价离场。
漏洞分析
通过闪电贷,攻击者能够操纵交易对的状态,并进一步操纵DEUS的预言机价格,以此利用不对等的价值借贷DEI。
资产去向
截至撰稿时,黑客已将攻击所得转到以太坊上并换成ETH,随后将5,446个ETH存入TornadoCash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
写在最后
预言机合约不应该直接使用交易对池中的价格作为价格来源,而安全审计可以有效地避免这一风险。
CertiK安全专家建议:如果只有代币合约被审计,这种情况在审计过程中将会指出第三方依赖风险。项目应该避免直接从交易对池中获取价格。建议根据项目的逻辑,使用更值得信任的预言机:
1.使用多个可靠的链上价格预言机来源,例如Chainlink和Band协议。
2.使用时间加权平均价格。TWAP代表了一个代币在特定时间范围内的平均价格。因此如果攻击者仅操纵一个区块的价格并不会对平均价格产生太大的影响。
3.如果合约模式允许,将函数调用者限制在一个非合约/EOA地址。
4.闪电贷款只允许用户在一次交易中进行借贷。如果合约用例允许,可强制关键交易至少跨越两个区块。
据区块链浏览器TRONSCAN数据,过去一周,波场版稳定币日均转账额为11,744,732,112美元,突破117亿美元! 波场联合储备花费超1500万美元买入500枚比特币:5月10日消息.
1900/1/1 0:00:00投资者一周撤资70亿美元全球最大稳定币还能稳得住么?此前,Tether声称其发行流通的USDT都与1美元挂钩.
1900/1/1 0:00:002021年作为NFT元年,随着NFT市场的大爆发,为加密技术、加密金融市场与艺术家们带来了一场前无古人的联动,越来越多的艺术家加入到NFT的创造中来,其中就包括音乐家.
1900/1/1 0:00:00据最新消息,TokenPocket多链批量转账工具TokenBatchSender现已支持波场TRON,用户只需几个简单步骤即可批量发送代币.
1900/1/1 0:00:00据官方消息,AtomicWallet已支持TRC20-USDT,用户现可通过VISA、MC或SEPA购买TRC20-USDT.
1900/1/1 0:00:00为什么要谈论领导力? 如果你曾经担任过行政职务,成为有影响力的DAO成员,或者创立了一个新的组织,你可能会从内心深处体会到责任的重负。可能有非常多的工作,许多的不确定性,但却迫切需要做出重大、复杂,且往往会产生长期影响的决定.
1900/1/1 0:00:00