价格操纵攻击有多猛？ Market遭攻击事件分析

作者：

时间：1900/1/1 0:00:00

2022年10月19日，据BeosinEagleEyeWeb3安全预警与监控平台监测显示，Celo生态上的Moola协议遭受攻击，黑客获利约840万美元。

据悉，MoolaMarket是一个非托管的流动性协议。使用过度抵押贷款、委托贷款或闪电贷款的借款人支付利息，存款人可以赚取复利。攻击发生之后，MoolaMarket表示，其团队正在积极调查这一事件，平台上的所有活动都已暂停。

DeFi基础设施2Pi Network疑似遭价格操纵攻击，损失约5万美元:1月19日消息，据智能合约安全研究员oracle_0x转发的推文，2PiNetwork的Optimism金库疑似遭遇闪电贷攻击并损失约5万美元。oracle_0x评论称，看起来这是一个价格操纵漏洞，_withdraw金额（USDC）取决于balance()中的流动性池的瞬时价格，攻击者在提现之前兑换了USDC以提高其他资产的价格。[2023/1/19 11:20:56]

外媒：韩国检方已逮捕一名Terraform员工，其被指控进行虚假交易和价格操纵:10月8日消息，韩国检方已逮捕一名 Yu 姓 Terraform 员工，该员工曾为 Do Kwon 的主要助手，其被指控进行虚假交易和价格操纵。

据报道，这是韩国检方在 Terra 案中的首次逮捕行动。（韩国JTBC）[2022/10/8 12:49:15]

关于本次攻击事件，Beosin安全团队第一时间进行了分析，结果如下：

#事件相关信息

攻击者地址

0x5DAE2C3d5a9f35bFaf36A2E6edD07c477f57789e

通过下图可以注意到黑客的起始资金为18万枚CELO，准备就绪之后，黑客便开始了他的攻击之旅。

安全公司：CoFiXProtocol项目遭受价格操控攻击，攻击者获利约14万美元:据成都链安安全舆情监控数据显示，CoFiXProtocol项目遭受价格操控攻击。成都链安安全团队对此次攻击事件分析后，发现攻击者先从先闪电贷借出大量BSC-USD，再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞，将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC，导致LP中DCU的价格升高，最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击，总计获利约145,491 BSC-USD（价值14万美元），已经兑换为BUSD并转移到攻击者的其他地址（0x5443...d7D6）中。对此，成都链安安全团队建议用户在对合约授权时按需授权，授权值不要超过本次需要转移的代币的数量，避免因为过多授权造成意外损失。[2022/6/2 3:57:41]

动态 | Paragon市值闯入前20，或因价格操纵:据unhashed报道，山寨币Paragon昨日或因价格操纵，价格在几小时内从0.17美元升至10.28美元，总市值进入前20。此前，Paragon被美国证券交易委员会定为未注册的证券。Paragon团队在11月支付了巨额罚款。[2019/1/3]

第一步：看下图，可以看到攻击者进行了多笔交易，用CELO买入MOO。