LOCK:不再安全的TWAP预言机？VesperFi Fianance被黑事件分析 -ODAILY

前言

11月3日，知道创宇区块链安全实验室监测到以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击，损失超300万美元。

知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

攻击流程简析

攻击分为两部分：

第一部分：攻击阶段

交易哈希：0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻击者向pool添加(VUSD对USDC为无穷大)的0.1USDC流动性

Vitalik Buterin：我已不再是亿万富翁了:金色财经报道，由于加密市场下挫，以太坊联合创始人 Vitalik Buterin 财富也出现缩水，他在社交媒体上最新发言中写道：“我已不再是亿万富翁了。” （I’m not a billionare anymore）不过，Vitalik Buterin此前在接受彭博社采访时曾表示：“凡是深入研究过加密货币的人都知道，这一领域的BUIDLer其实都很喜欢熊市。”[2022/5/21 3:32:56]

Jack Dorsey：Block不再只是一家支付公司:金色财经消息，Block高管不再希望该公司被视为纯粹的支付业务。在周三的投资者日上，Block高管们表示，这款理财应用及其加密货币和音乐流媒体业务应该被视为一个“生态系统”。

Block首席财务官Amrita Ahuja接受CNBC采访时表示，“将Block称为支付公司，就像将亚马逊称为书商。我们在多个维度上以多种不同的方式成长。”

Block首席执行官兼联合创始人Jack Dorsey在周三的演讲中首先就Block的演变和比特币在其未来发展中的作用发表主题演讲。他表示，很难将Block这样的公司归入单一类别。“我们不再只是一家支付公司。自上次投资者日以来，情况发生了很大变化。”（CNBC）[2022/5/19 3:26:22]

V神：即使扩容问题不再那么重要 但PoS仍很重要:7月22日，有推特网友称，以太坊Gas费上涨现象已经无处不在了，尽管有开发人员称以太坊信标链将于11月份推出，但仍需要几年时间才能彻底解决问题。也有网友表示，以太坊Layer 2扩容协议，如Optimistic Rollups、zk-rollup已经做得不错了，也许并不需要ETH 2.0了。对此，V神回应称，即使扩容不再那么重要，但PoS还是很重要的。[2020/7/22]

2.攻击者通过Swap用232kUSDC兑换走pool内正常的222kVUSD流动性

前MT.Gox的CEO不再相信比特币:曾经最大的比特币交易所Mt. Gox的前首席执行官说，他不再是比特币的信徒，他对加密货币持悲观态度。Mark Karpeles周三在网上论坛Reddit上的一次聊天中说:“这项技术肯定会继续存在，但比特币可能会有很难保持。当然我也可能是错的。”[2018/4/6]

第二部分：套利阶段

交易哈希：0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通过Swap将222kVUSD兑换为2205MMfVUSD

2.将2205MM抵押置换成其他pool基础代币

攻击原理分析

1.首要分析为什么黑客要进行两次操作，而不通过同一攻击合约完成操作？

解决这个问题首先我们要知道UniswapV3使用的预言机为TWAP类型，该预言机功能为获取一个时间周期上的交易平均价格，也就是说当价格已经发生改变时，该交易可能还并没有处在TWAP获取价格的时间周期中。

所以在黑客已经完成攻击后，他并没有基于兑换手中的VUSD，而是等到价格发生变化时再入手。我们也确实可以看到套利阶段发生在攻击阶段10块高后。

攻击交易哈希：

套利交易哈希：

2.至于添加流动性和兑换流动性得到解释在UniswapV3中，只有一个区块内对价格有影响的第一笔交易会被写入预言机。

因此添加过高的流动性可以让TWAP发现并获取到攻击者指定的价格。而兑换走流动性则是让TWAP发现前一步骤以及套利。

总结

本次安全事件的主角虽然是\nVesperFiFianance，但是更让人关心的是UniswapV3的TWAP预言机是否依然安全，可以观察到并非TWAP\n预言机本身错误地获取了价格，而是一个严重超高的价格被设置出来让它获取的，不可否认其存在局限性，但是本次事件最主要的问题还是流动性过于集中在预期价格附近很容易被操纵以及允许\npool内单个代币不合理的流动性被设置。

知道创宇区块链安全实验室在此提醒，任何有关资金问题的操作都需要慎重考虑，合约审计、风控措施、应急计划等都有必要切实落实。

标签：LOCKLOCBLOCKBLOblock币今日行情BLOCK价格blockchain.infowallet恢复MBLOX

XRP热门资讯