一個小數點造成數百萬美元蒸發，Fantasm Finance攻擊事件分析_ERT

北京時間2022年3月9日21:50，CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣，并將其交易為ETH，總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

Metaprints正在創建一個NFT生態系統飛輪:據官方消息，Metaprints新推出了Social Hub Pass,元宇宙探索者可通過其與用戶見面，將他們喜歡的品牌融入到The Sandbox中。Metaprints是加密項目的門戶，在Animoca Brands的支持下，Metaprints擁有由元世界項目組成的網絡，這使得它能夠通過一個合作伙伴關系，在多個平臺上促進品牌資產的創建和管理，比如房地產、角色、時尚等，跨越多個元數據。[2022/4/18 14:30:42]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

數據：比特幣期權日交易量升至一個月高點，Deribit交易所交易量占85%以上:根據Skew提供的數據，周四，主要交易所（Deribit、LedgerX、Bakkt、OKEx和CME）的比特幣期權日交易量升至8640萬美元，為3月16日以來的最高水平。Deribit比特幣期權交易量占每日總交易量的85%以上，CME比特幣期權交易量則僅占1%。此外，未平倉期權合約總數量升至6.423億美元，3月份已觸底跌破4億美元。

Stack研究主管Lennard Neo表示，“下個月的減半應該會成為更樂觀的中長期價格走勢的催化劑。”然而，期權市場的活動表明，投資者正在下注（買入看跌期權），可能是為了對沖減半后的潛在價格下跌或者另一場類似3月份的宏觀驅動的崩盤。根據Skew數據，看跌期權需求的增加反映在看跌期權的看跌/看漲未平倉合約比率上升至0.63的七周高點。（CoinDesk）[2020/4/17]

②在第一個tx中，攻擊者將Fantom代幣(FTM)換成FSM代幣，并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

聲音 | 分析師：2017年ICO的繁榮是一個永遠不會復蘇的泡沫:研究分析師拉里?瑟馬克（Larry Cermak）在推特稱，2017年ICO的繁榮是一個永遠不會復蘇的泡沫。 根據研究，到目前為止，首次發行硬幣的美元回報率中值為-87%，而且這個數字還在繼續下降，根據Cermak提供的數據，ICO的繁榮最終因為“創始人和投資者之間的激勵錯位”而破滅。 ICO除了從“不成熟”的散戶投資者那里籌集資金外，許多項目管理不善，根本沒有一個多元化的產品。許多初創公司也失去了運作的能力，因為項目方將大部分資金投入以太坊和比特幣的做法適得其反，然后在2018年價格暴跌。 起初，公開發行代幣是一種革命性的融資方式，讓普通未經授權的投資者獲得了通常留給風險投資家和機構投資者的投資機會。 其缺點是，這種非常規的融資方式讓投資者幾乎沒有法律追索權來對被證明存在欺詐或管理不善的項目提出索賠。[2019/8/9]

③攻擊者調用collect()函數，以此鑄造了超出權限更多的XFTM代幣。

動態 | Stellar.org成為第一個符合伊斯蘭教條律的區塊鏈協議:7月31日消息，在獲得巴林中央銀行（CBB）許可組織的批準后，Stellar.org成為首個實現伊斯蘭教法合規的主要區塊鏈協議。預計Stellar的回教條款認證可以幫助區塊鏈和加密貨幣世界對海灣合作委員會和中東地區更具吸引力（Newssofbahrain）[2018/7/31]

④攻擊者多次重復步驟②和③，造成FantasmFinance巨額損失。

在函數calcMint中，合約使用以下公式來計算鑄幣量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤，導致_xftmOut最終的值遠遠大于代碼的設計初衷。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計，這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞，往往會認為漏洞必然是很復雜的，其實并非總是如此。有時一個小小的計算錯誤，就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

參考鏈接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags：CERHTTTPSERTCERE價格BHTTtps幣行情liberty幣1967

幣安交易所app下載