火星链 火星链
Ctrl+D收藏火星链
首页 > SOL > 正文

CERT:一个小数点造成数百万美元蒸发,Fantasm Finance攻击事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

马斯克曾在提出收购Twitter前计划建立一个基于区块链的社交媒体平台:9月30日消息,马斯克今年在4月份提出收购 Twitter 的几天前曾在一条短信中表示,“我认为需要一家基于区块链并包含支付功能的新社交媒体公司。”该平台可以像Twitter一样发送信息和链接。由于需要支付费用才能在链上发布信息,这将消除绝大多数垃圾邮件和机器人。(CoinDesk)[2022/9/30 6:04:46]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

以太坊开放者会议:或将在合并之前启动最后一个合并测试网:1月7日,以太坊核心开发者进行电话会议。以太坊开发者Tim Beiko更新会议内容表示,以太坊2.0测试网Kintsugi进行了大量测试,但以太坊开发者MariusVanDerWijden再次成功破解网络,网络约13小时没有产生区块。希望再启动一个合并测试网,这可能是合并之前的最后一个。此外,将于1月21日进行下次电话会议。[2022/1/10 8:37:05]

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。

Fixed社区核心开发者Eric:DeFi的高波动性是传统资金进入的一个障碍:3月15日19:00,一站式DeFi门户DeFiBox在线上举办DeFi Demo Day第二期——Heco专场,去中心化固定存款利率协议Fixed-Rate-Protocol受邀参与了本次圆桌讨论环节。

Fixed-Rate-Protocol社区核心开发者Eric在圆桌中介绍到,Fixed-Rate-Protocol的愿景是以固定利率衍生品作为切入点,在金融生态中提供浮动利率的缓冲池,为上下游提供更稳定的金融环境。

Eric认为对于整个DeFi金融生态来说,固定利率协议不仅仅是缓冲池,也是结构化资产配置的必要模块,更是和传统金融对接的桥梁。在传统金融里面,能做到固定年化10%,浮动年化20%的产品也是凤毛麟角。而DeFi的高波动性是传统资金进入的一个障碍,所以Fixed希望用智能合约和平台币治理机制,来为传统金资金的进入,提供更加简单和友好的投资方式。[2021/3/15 18:46:58]

在函数calcMint中,合约使用以下公式来计算铸币量:

声音 | Vinny Lingham:另一个2万美元的比特币泡沫即将到来:据bitcoinist报道,在约翰内斯堡的一次活动中,Civic CEO Lingham表示,缺乏应用和扩展问题是当前大量采用加密货币的障碍。虽然加密货币的主要用途是转账和交易,但随着市场的成熟,这种情况将逐渐扩大。开发者和初创公司应该参与进来,因为他们相信自己的项目目标,而不是他们能赚多少钱。他认为,去年的泡沫和随后的崩盘只是简单的供求关系。投资者兴趣的增加和有限的供应推动了价格上涨,从而吸引了ICOs的增长。所以现在的ICOs比买家多,价格下降意味着买家可以花的更少。不过,他预测,投资者的贪婪很可能会催生另一个泡沫。当价格再次触及2万美元时,价格会回落到100美元左右。[2018/10/19]

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签:CERTPSHTTCERTSoccerInutps币圈HTT币0xcert

SOL热门资讯
Gate.io:Gate.io Presents High Quality Trading Strategies To Facilitate Your Trading Experience

Gate.ioCopyTradingisnowhometo16quantitativeproducts.

1900/1/1 0:00:00
UND:拥有世界上最昂贵的NFT的收藏家是谁?

原文作者:AnastasiaChernikova原文来源:Cryptoslate本文来自FastDaily。货币行业打下了自己的烙印.

1900/1/1 0:00:00
EFI:老虎生态:Tiger&论DeFi底池占比的重要性

BTC比特币将进入熊市,从多方面来看,DeFi将继续扩展和被广大玩家而追捧,同时DAO治理最终会成为链上活动的主要驱动力。在全球监管加码,40多个国家已经为加密货币制定了150多项不同的规则.

1900/1/1 0:00:00
APE:NFT数据日报 | CyberBrokers V3在过去24小时内最受巨鲸欢迎(3.9)

NFT?数据日报是由Odaily星球日报与?NFT?数据整合平台NFTGO.io合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度、子领域市占比.

1900/1/1 0:00:00
Gate.io will list StepN (GMT): Deposit GMT & Win a Share of $15,000 GMT Mega Reward

Gate.iowilllistStepN(GMT)at01:00PM(UTC),onMarch9th,2022.Tocelebratethelisting.

1900/1/1 0:00:00
LID:为何AC要退圈,他会永别Crypto和DeFi吗?

本期内容脑图:今天的话题是:AC为何退圈?为啥要研究这个呢?因为理解了AC为何退圈,你就理解DeFi从1.0到2.0的发展,还有DeFi的创新之难.

1900/1/1 0:00:00