比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

一個小數點造成數百萬美元蒸發,Fantasm Finance攻擊事件分析-ODAILY_CER

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

比特幣波動指數近一個月維持下降趨勢,已回落至今年2月低位水平:5月22日消息,由金融指數公司 T3 Index 聯合比特幣期權交易平臺 LedgerX 推出的 BitVol(比特幣波動)指數在近一個月內維持下降趨勢,昨日已跌至 52.88,回落至今年 2 月的低位水平,較前一日回暖 0.74%。注:BitVol指數衡量從可交易的比特幣期權價格中得出的30天預期隱含波動率。隱含波動率是指實際期權價格所隱含的波動率。它是利用B-S期權定價公式,將期權實際價格以及除波動率σ以外的其他參數代入公式而反推出的波動率。期權的實際價格是由眾多期權交易者競爭而形成,因此,隱含波動率代表了市場參與者對于市場未來的看法和預期,從而被視為最接近當時的真實波動率。[2023/5/22 15:18:22]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

現貨黃金站上1830美元/盎司 為一個月來首次:行情顯示,現貨黃金站上1830美元/盎司,為一個月來首次。[2021/9/3 22:58:37]

攻擊步驟

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。

聲音 | 瑞銀分析師:用數字貨幣取代美元的想法“是一個相當大的飛躍”:據新浪科技消息,瑞銀全球財富管理首席經濟學家表示,加密貨幣即將走到盡頭,是時候拋棄數字貨幣了。瑞銀分析師多諾萬認為,加密貨幣可能正處于“垂死掙扎”之中,因為失去80%的價值“是不健康的”。他說,政府是比特幣的“主要障礙之一”。并且,他又補充說,用數字貨幣取代美元的想法“是一個相當大的飛躍”。[2018/12/1]

④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。

漏洞分析

在函數calcMint中,合約使用以下公式來計算鑄幣量:

動態 | BCHSV挖出第一個區塊:金色財經直播,BCH硬分叉大戰后,BCHSV挖出第一個區塊,大小為13627KB。近四分之三的BCH節點運營商運行ABC,而運行SV的只有8%。[2018/11/16]

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。

資金去向

攻擊者可因此獲取大約1000個ETH,所有的資金均被轉移至Etherscan并被發送到tornadoproxy。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

參考鏈接:

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags:CERTPSHTTcertikCERBERUS價格https://etherscan.ioCHTT價格certik幣價

歐易交易所app官網下載
BitKeep錢包加速占領市場份額,已達MetaMask 50%-ODAILY_KEEP

Web3.0加密錢包BitKeepCEOKevin在3月21日發布Twitter宣布:BitKeep錢包跨鏈Swap服務首度突破500萬筆.

1900/1/1 0:00:00
波場TRON項目周報(03.26-04.01)-ODAILY_TRO

過去的一周,波場TRON項目進展順利,為滿足波場TRON全球社區愛好者閱讀,本周周報共分為14種語言,請您選擇閱讀.

1900/1/1 0:00:00
一文讀懂人類節點項目Humanode-ODAILY_UMA

Humanode介紹 據星球日報消息,Humanode于近期完成了200萬美元種子輪融資,RepublicCapital領投.

1900/1/1 0:00:00
在Qredo上進行P2P掉期場外交易-ODAILY_PRI

場外交易占加密活動的很大一部分。在散戶交易層面,大部分市場活動是通過交易所進行的。這是因為這些平臺為交易者提供了一種簡單而安全的方法,可以快速進出倉位,并具有充足的流動性和公平的點差.

1900/1/1 0:00:00
Qredo的故事:從網絡到金庫-ODAILY_RED

當我們正在準備明年推出完全去中心化的QredoV2時,首席執行官AnthonyFoy為大家回顧了Qredo的發展歷程;中文社區的各位伙伴,讓我們一起,回顧這段去中心化之路.

1900/1/1 0:00:00
預言機變成鏈上「套利」專用工具?Fortress Loans「被薅羊毛」攻擊事件分析-ODAILY_ETH

北京時間2022年5月9日凌晨4:34:42,CertiK安全技術團隊監測到FortressLoans遭到攻擊.

1900/1/1 0:00:00
ads