又現套利攻擊：Goldfinch項目的SeniorPool合約遭受攻擊事件分析_USDC

又現套利攻擊！—Goldfinch項目的SeniorPool合約遭受攻擊事件分析

2022-06-2816:55:30

2022年6月28日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Goldfinch項目的SeniorPool合約遭受攻擊，攻擊者累計獲利金額為28,523個USDC，項目方累計損失541,158個USDC。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

MYEG與中國海關機構簽署協議在Zetrix區塊鏈平臺上實現跨境貿易互聯互通:金色財經報道，MY E.G. Services Berhad (\"MYEG\") 與中華人民共和國海關總署（\"GACC\"）全資機構東方物通科技有限公司（East Logistic-Link Co. Ltd.）簽署合作協議，共同在Zetrix區塊鏈平臺上提供全方面的跨境貿易便利化服務，MYEG將通過其區塊鏈平臺Zetrix提供這一系列的數字服務，實現與國內區塊鏈平臺相互連接。[2023/3/31 13:36:20]

#攻擊過程

攻擊交易地址：

Arbitrum Nova與Web3數據提供商Covalent集成:金色財經報道，Arbitrum生態鏈Arbitrum Nova宣布與Web3數據提供商Covalent集成以提高開發人員的數據可用性，從而與區塊鏈技術一起構建更好的游戲生態系統。根據官方博客文章稱，本次Arbitrum Nova和Covalent集成將有助于擴展整個 Web3 開發并促進大規模采用，同時專注于提升 Gamefi 生態系統，這將使個人和企業能夠更好地控制他們的數據和資產。（crypto-economy）[2023/3/9 12:52:38]

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

Cardano儲備金庫余額突破10億枚ADA:金色財經報道，據watcher.guru披露，Cardano儲備金庫余額已突破10億枚ADA，按照當前價格計算約合 4.37 億美元。此外，目前有 1,075 個項目正在Cardano區塊鏈上建設，原生Token數量接近600萬枚，Plutus 腳本數量現在為 3,117 個。Cardano儲備金庫旨在為該區塊鏈建設提供足夠資金支持，確保平穩運行并持續增長。[2022/8/30 12:58:22]

攻擊者地址：

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻擊者合約：

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻擊存在多筆，我們選取了具體的一筆攻擊交易進行分析：

1.?第一步：攻擊者通過UniswapV3的DAI-USDC池子閃電貸借出110,000個USDC代幣。

2.?第二步攻擊者再把110,000個USDC代幣從Curve的FIDU-USDC池子兌換出106,667個FIDU代幣。

3.?第三步攻擊者利用SeniorPool合約的withdrawInFidu函數，把106,667個FIDU代幣兌換成113,853個USDC，然后歸還閃電貸110,011個USDC，剩余本次攻擊獲利的3,842個USDC。

漏洞原因為：攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣，來獲取SeniorPool合約抵押USDC代幣的紅利。

目前Curve中FIDU兌換USDC為1:1.03,而在SeniorPool中的比例為1:1.07，這就產生了套利空間。

圖1?Curve中FIDU兌換USDC的比例

圖2?SeniorPool合約中FIDU兌換USDC的比例

下面是具體的代碼實現：

攻擊者利用withdrawInFidu函數銷毀FIDU代幣換取USDC。而可獲取USDC的數量是通過_getUSDCAmountFromShares函數中的sharePrice去計算的。這里的sharePrice會隨著分紅的增加而增加，攻擊者就可以利用Curve的FIDU-USDC池子獲取FIDU代幣，從而獲取SeniorPool合約抵押FIDU代幣的紅利。

總結

針對本次事件，成都鏈安安全團隊建議：

項目方使用新的代幣代替FIDU代幣為憑據代幣，并確保其他途徑無法獲取該憑據代幣。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

來源：金色財經

Tags：USDUSDCSDCFIDledger錢包支持usdt么usdc幣是什么幣PSDCfida幣銷毀

比特幣行情