一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

dForce杨民道：链上DeFi保险是一个左脚踩右脚的伪命题:12月27日消息, dForce创始人杨民道发推称，一直觉得链上DeFi保险是一个左脚踩右脚的伪命题：

1. DeFi安全事故非独立概率事件，传统保险精算逻辑不成立，一黑到底，全部掏空协议。

2. DeFi保险协议本身市值可能都没有头部DeFi协议1/10，榨干也赔不起。类似AAA企业发债，BBB企业担保？

3. DeFi协议自身代币就是last resort，出问题，增发解决。[2021/12/27 8:06:24]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

声音 | 周小川：全球性数字货币需要一个类似全球央行的机构:近日，在重庆举行的博鳌亚洲论坛第二届“亚欧合作对话”中，博鳌亚洲论坛副理事长、中国人民银行原行长周小川表示，针对数字经济税、数字货币和电子支付等新情况，需要全球合作以及金融界的积极响应。关于最近各方热议的数字化的全球货币，他认为目前全球确实面临机会推进类似eSDR（电子特别提款权）和SHC(合成霸权货币)这样的全球性数字货币，但这需要一个类似全球央行的机构。（第一财经）[2019/12/5]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

动态 | 泰国证券公司协会考虑建立一个联合加密货币交易所:泰国证券公司协会（ASCO）正在考虑建立一个联合加密货币交易所。这批证券公司希望获得泰国证券交易委员会（SEC）的许可。ASCO主席Pattera Dilokrungthirapop告诉当地媒体说，该组织的几名公司成员热衷于开设数字货币交易所。与此同时，其他公司也有兴趣经营ICO门户网站，或者成为加密货币领域的经纪人和交易商。[2018/7/3]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

俄罗斯试图将其国家货币卢布定位为ICO流程中的一个组成部分:据俄罗斯当地新闻媒体Kommersant报道，俄罗斯MinComSvyaz为数字货币和ICO发行制定准则。俄罗斯试图将其国家货币卢布定位为ICO流程中的一个组成部分。该文件提到：

1.ICO组织者可将委任5年；

2.MinComSvyaz全权负责ICO认证；

3.ICO必须在俄罗斯联邦注册；

4.注册资本必须至少在1亿卢布；

5.必须获得开发，生产和分销数字商品的许可；

6.必须有俄罗斯银行账户转账ICO筹集的资金；

7.数字的发放只能以卢布进行（无现金结算）。

然而该文件还在公开讨论阶段，俄罗斯数字货币与区块链协会货币（RACIB）负责人Arseniy Sheltsin说：“很难以任何形式评论这些规定，因为它们脱离了现实。[2018/4/2]

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERTPSHTTcertikSOCCER价格https://etherscan.iohtt币局certik币价

USDC热门资讯