稳定币:OUSD遭“经典重入攻击”，损失770万美元，DeFi安全亟待解决

近日，PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击，攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击存入Origin智能合约来铸造OUSD稳定币，之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作，为OUSD持有者赚取回报。重入攻击重现凭空创造2050万枚OUSD

PeckShield通过追踪和分析发现，首先，攻击者从dYdX闪电贷贷出70,000枚ETH；随后，在UniswapV2中先将17,500枚ETH转换为785万枚USDT，再将所贷剩余的52,500枚ETH转换为2099万枚DAI；接下来，攻击者分四次铸造OUSD稳定币：第一次通过mint()函数铸造OUSD时，攻击者确实在Origin智能合约中存放了750万枚USDT，并获得750万枚OUSD；第二次通过mintMultiple()多种稳定币函数铸造OUSD时，攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”，并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中，此时智能合约收到2050万枚DAI，在尝试接收0枚假“稳定币”时，攻击者利用恶意合约进行劫持，在智能合约正常启动铸造2050万枚OUSD之前，调用mint()函数，先恶意增发了2050万枚OUSD，此次恶意增发由VaultCore合约调用rebase()函数实施。

Zhu Su：oUSD的灵感来源于UST和FTT的崩溃:6月24日消息，三箭资本及OPNX创始人Zhu Su表示，今日OPNX推出的信用稳定币oUSD的灵感来源于UST和FTT。UST对投资者来说是一个被动的下沉点，但资本利用率很低，而FTT有很大的借贷需求，但Genesis和FTX用户是唯一的自然贷款人。UST没有发行足够的活跃债券，就导致了死亡螺旋时缺少自然买家。

保证金货币应该是账户本身的单位，这就再现了Okex多年来拥有的超稳定的derivs结构，即不断将风险社会化到利润池中。因此OPNX利用oUSD拥有了立即继承可证明的偿付能力、可证明的清算（特别是没有不可清算的内部流动性的证明）以及所有客户资产都位于链上的属性，能够使其在不可抗力事件中从容驱逐风险。[2023/6/24 21:57:37]

著名加密艺术家FEWOCiOUS最新作品总售价达37万美元:1月1日，著名加密艺术家FEWOCiOUS在Nifty Gateway发售其最新加密艺术NFT作品，并引起广泛关注。

据加密艺术数据分析网站CryptoArtPulse统计，此次发售总售价达37万美元，其中单价350美元的开放版本 NFT“The Day I Decided to Fly”共售出267件，约9.3万美元；单价1000美元的开放版本NFT“Moving On”共售出192件，约19.2万美元；无声拍卖的5件NFT“Afraid to Be Myself”均以10539美元的价格成交，共计约5.27万美元；在拍卖会上进行拍卖的NFT“Over-Analyzing Again”以3.5万美元成交。[2021/1/3 16:19:20]

值得注意的是，为顺利实施劫持，攻击者在上述mint()函数调用时，真金白银地存入了2,000枚USDT，同时获得第三次铸币2,000枚OUSD。随后，调用oUSD.mint()函数第四次铸造2050万枚OUSD。

Origin称OUSD黑客攻击主要由合约中重入漏洞引发:去中心化共享经济协议OriginProtocol（OGN）联合创始人MatthewLiu更新关于“稳定币OUSD遭受攻击”一事称，“团队在采取措施以追回资金，包括与交易所以及其他第三方合作，以识别出黑客地址，并对资金进行冻结。黑客同时使用TornadoCash和renBTC来进行和转移资金，目前，黑客钱包中还有7137枚ETH和224.9万枚DAI。此次攻击是由合约中的一个重入漏洞（reentrancybug）引发。团队将在未来几天内采取措施，试图弥补用户资金，还将讨论OUSD持有者的补偿计划。”据此前报道，OUSD因此次攻击事件造成700万美元损失。Origin提醒称，“目前已禁用了vault存款，请不要在Uniswap或Sushiswap上购买OUSD。”[2020/11/17 21:03:47]

rebase指代币供应量弹性调整过程，即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制，即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时，攻击者共获得2800.2万枚OUSD，包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase()函数，攻击者所获得的OUSD总计上涨至33,269,000枚。最后，攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC；再在Uniswap中将1045万枚USDT兑换为22,898枚ETH，将390万枚USDC兑换为8,305枚ETH，将190万枚DAI兑换为47,976枚ETH，共计79,179枚ETH，并将其中70,000枚ETH归还到dYdX闪电贷中。据PeckShield统计，攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI，合计770万美元。对于次攻击事件，OriginProtocol官方回应称，正在积极采取措施，以期收回资金。随着DeFi生态的蓬勃发展，其中隐藏的安全问题也逐渐凸显，由于DeFi相关项目与用户资产紧密相连，其安全问题亟待解决。对此，PeckShield相关负责人表示：“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’，其整体安全性环环相扣，平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查，还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”

标签：USDOUSDETH稳定币TrueUSDOUSD价格BAETH币数字人民币稳定币

Coinw热门资讯