北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
Pantera Capital CEO:比特币的下一个牛市即将到来:金色财经报道,Pantera Capital首席执行官Dan Morehead认为,加密货币的寒冬将很快结束,比特币价格将再次上涨。他提醒说,这样的起伏是正常的,在过去十年中已经发生过多次,包括2018年的下跌和未来几年的连续牛市。我们已经经历了三个大熊市周期。实际上,我认为我们已经在6月份触底,我们正在进入下一轮牛市。这可能会有困难,可能需要一段时间,但我认为我们进入了反弹的下一阶段。在谈到比特币的未来价格时,Morehead预测,比特币的价格将继续以每年约2.5倍的速度上涨。尽管如此,他声称加密领域最近已经发生了变化,不再只围绕比特币和以太坊流通。(cryptopotato)[2022/9/8 13:16:38]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
Cardano核心开发人员:一个Bug导致测试网严重崩溃:8月19日消息,据Cardano核心开发人员Adam Dean在社交媒体披露,由于最近发现的一个Bug,导致Cardano区块链测试网被灾难性破坏。Adam声称,即将到来的Vasil硬分叉1.35.2版本内包含一个严重错误,该漏洞因为质押池运营商急于在主网升级时被发现。尽管该漏洞现在被发现,但大部分SPO已经将阶段升级到了1.35.2版本,而本周早些时候推出的1.35.3版本目前还无法进行区块链同步,现在只能在两个没有任何区块历史的新测试网上进行测试。
Adam Dean表示其已经敦促Input Output首席执行官Charles Hoskinson部署灾难恢复计划所需的工具,到目前为止,大约14%的SPO已升级到节点版本1.35.3,远低于要求的75%阈值,本周三Charles Hoskinson曾在社交媒体呼吁SPO尽快将节点升级到最新版本,但当时不少用户认为不要为了和以太坊竞争而急于升级。[2022/8/19 12:35:15]
攻击步骤
巴西央行行长:2022年下半年将有一个数字货币试点项目:12月1日消息,巴西央行行长内托表示,2022年下半年将有一个数字货币试点项目。 (金十)[2021/12/1 12:42:34]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
欧洲央行副主席:将在年中决定是否为可能推出的数字欧元发起一个项目:官方消息,西班牙财政部长、欧洲央行副行长Luis de Guindos在采访中表示,欧洲央行必须确保有足够的能力在所有方面应对未来的任何挑战。当前的重点是深化分析数字欧元应如何运作,以及其如何使欧洲公民和经济受益。理事会将在2021年中左右决定,是否为可能推出的数字欧元,发起一个项目。
此前4月11日消息,欧洲央行执委帕内塔也曾表示,在接下来的几个月中,管委会将决定我们是否应该启动一个正式项目,以准备发行数字欧元。如果准备成功,我们将准备在五年内推出数字欧元。[2021/5/3 21:19:36]
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
网络安全公司Recorded Future:莱特币将成为下一个暗网世界主导货币:美国网络安全公司Recorded Future称,莱特币将成为下一个暗网世界主导货币。[2018/2/8]
漏洞分析
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
资金去向
攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下受邀参与的纪录片《AligningTheFuture》中英字幕完整版已正式上线.
1900/1/1 0:00:00以太坊在DeFi的总锁仓量(TVL)占比,从2021年1月的96.91%下降到2021年Q4的62.43%.
1900/1/1 0:00:00SupraOracles很高兴地宣布与myMessage建立合作伙伴关系,myMessage是一种具有用户激励功能的去中心化社交媒体和数据存储协议.
1900/1/1 0:00:00撰文:FootprintAnalytics分析师Amanda数据来源:FootprintAnalytics-2021TokenReview本文是FootprintAnalytics区块链年报的一部分.
1900/1/1 0:00:00北京时间2022年4月15日11点18分,CertiK审计团队监测到RikkeiFinance被攻击,导致约合701万元人民币资产遭受损失.
1900/1/1 0:00:00DAOrayakiDAO研究奖金池:随着DAO的发展,我们迎来一个新的工作时代,许多项目面临着共同的问题,即确定一个可扩展的公式来补偿他们的贡献者。当社区只有五个核心贡献者时,有效的方法可能不会随着社区的发展而起作用.
1900/1/1 0:00:00