1.前言
北京时间2022年3月15日,知道创宇区块链安全实验室监测到DeusFinance遭到黑客攻击,损失约300万美元。本文,知道创宇区块链安全实验室对本次事件进行了全面分析。
2.基础信息
攻击者地址:0x1ed5112b32486840071b7cdd2584ded2c66198dd
攻击合约:0xb8f5c9e18abbb21dfa4329586ee74f1e2b685009
DeiLenderSolidex合约:0xeC1Fc57249CEa005fC16b2980470504806fcA20d
MakerDAO新提案:建议设置在紧急情况下立即禁用PSM模块的“熔断机制”:3月13日消息,MakerDAO社区已发起一项新提案,建议设置在紧急情况下可快速禁用PSM模块的“熔断机制”,而不用再等待治理延迟。
该提案补充解释称,鉴于近期由银行流动性问题而导致的中心化稳定币脱锚事件,建议设置该紧急处理机制,允许协议在无需等待治理延迟的前提下快速禁用PSM模块(PSM-USDC-A、PSM-PAX-A和PSM-GUSD-A),将相关债务上限降至零。该机制有助于Maker以更快的方式限制风险敞口,从而大大提高对中心化稳定币的抗风险能力。[2023/3/13 13:01:27]
甲骨文合约:0x5CEB2b0308a7f21CcC0915DB29fa5095bEAdb48D
欧洲央行行长:欧洲央行很有可能在3月份会加息50个基点:金色财经报道,欧洲央行行长拉加德表示,欧洲央行很有可能在3月份会加息50个基点;核心通胀率过高,通胀必须回到2%;相信整体通胀率将在2023年下降;无法断言利率会升至多高;2023年经济衰退不在欧洲央行工作人员的预测中。[2023/3/5 12:43:16]
交易哈希:0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c
3.漏洞分析
此次事件,漏洞关键在于协议通过StableV1AMM-USDC/DEI交易对在获取价格时被攻击者操控,导致普通用户资产被清算,最终获利。
Open Forest Protocol宣布已完成410万美元种子轮融资:金色财经报道,碳中和区块链平台Open Forest Protocol??(OFP)宣布已完成410万美元种子轮融资,吸引了包括风险投资家和天使投资人在内的大约 17 个投资者团体。Shima Capital、übermorgen Ventures、Not Boring Capital、Mercy Corps Ventures、Byzantine Marine、Big Brain Holdings 和 Valor Capital 等风险投资技术专家与许多天使投资人一起支持该平台。[2023/1/11 11:06:58]
DeiLenderSolidex合约的清算函数liquidate中,会通过isSolvent函数来判断用户是否应该被清算,而isSolvent调用Oracle.getPrice来问价判断抵押物的价格,因而产生了漏洞
元宇宙头像设计公司House of Blueberry完成约600万美元新一轮融资:12月25日消息,据美国证券交易委员会最新披露的Form D文件显示,总部位于北卡罗来纳州的元宇宙头像设计初创公司House of Blueberry已完成5,999,999美元新一轮融资,两个投资方参投,但目前暂未披露相关投资方信息。House of Blueberry专注于为3D虚拟空间设计可穿戴设备和服装,并为玩家提供个人头像和化身,其客户包括为元宇宙游戏巨头Roblox和The Mims。(nftgators)[2022/12/25 22:06:48]
由函数getPrice可知,代币价格算法:+)x10^18/
DEI的代币价格是通过DEI和USDC在池子中的余额进行判断的的,因此攻击者利用闪电贷发起此次攻击,控制了DEI代币的价格。
4.攻击流程
攻击者从SPIRIT-LP_USDC_DEI中闪电贷借出约970万DEI代币,之后再次使用闪电贷从sAMM-USDC/DEI中获取了2477万DEI代币用于操纵价格预言机
随后清算价格操纵后的破产用户
之后偿还闪电贷到sAMM-USDC/DEI中
烧毁流动性代币获取521万USDC和524万DEI
使用521万USDC换取517万DEI
归还从SPIRIT-LP_USDC_DEI中借的970万DEI
最后攻击者将获取的DEI全部换成USDC,总获利约300万美元。
5.总结
本次攻击事件核心是由于价格预言机对代币价格的实现存在问题,使得能够人为的通过池子中代币的余额来对代币价格进行控制,导致了此次事件的发生,建议官方在使用预言机时能够严格控制价格的逻辑实现。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
标签:DEIUSDSDCUSDCBRIGADEIRO价格imtoken里的usdt提现人民币教程Aave USDCusdc币圈最新消息
Feb.2022,VincyDataSource:FootprintAnalytics-CronosDashboardCrypto.com自2016年6月创立以来,一直是媒体聚光灯的中心.
1900/1/1 0:00:00伴随着DeFi的繁荣,加密数据分析的市场也方兴未艾。已实现对一个DeFi项目的初步解析。笔者在使用诸多分析工具后,整理了比较好用的,且市面上推荐度比较高的五类DeFi数据分析工具:看DeFiTo.
1900/1/1 0:00:002022年2月22日,LunarCrush的2月22日ALTrank排名中,WMT荣登榜首,LunarCrush一直专注于“用社交网络监控加密货币”.
1900/1/1 0:00:00Q1背景介绍DAO作为一个新兴的技术和组织形态,有潜力改变整个社会。截至2021年3月,DAO生态系统管理资产已经达到9.3亿美元,并且其中还不包含使用DAO的组织形式或者使用独立DAO框架的加.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00
火星链