比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

BRC:精析DeFi協議Warp Finance“預言機”攻擊事件

Author:

Time:1900/1/1 0:00:00

北京時間12月18日6時許,DeFi借貸協議WarpFinance遭到黑客攻擊,造成了近800萬美元的資產損失。

同時,WarpFinance官方也發布推文表示,已在調查違規貸款情況,并建議用戶暫停穩定幣的存入,直到事件真相明朗。成都鏈安團隊在接到區塊鏈安全態勢感知平臺報警后,第一時間對本次攻擊事件進行了調查,結果發現:1、WarpFinance使用的是Uniswap交易對的相對價格作為其預言機的喂價源。2、攻擊者在了解到這個情況后,使用從閃電貸中獲取的巨額資金操縱了Uniswap交易對的價格。3、通過控制預言機喂價源信息,攻擊者破壞了WarpFinance的借款價值判斷標準。4、在WarpFinance錯誤的數據環境下,攻擊者竊取了遠遠超過抵押品價值的資產。5、攻擊者歸還了從閃電貸中借出的款項。攻擊交易地址

前SEC顧問:加密貨幣立法草案是好的開端但需要兩黨共同參與:金色財經報道,前美國證券交易委員會特別顧問Coy Garrison本周表示,目前的市場結構討論加密貨幣立法草案是一個很好的起點。但共和黨人需要讓民主黨人加入進來。這項立法是由眾議院共和黨委員會的兩位領導人提出的,金融服務委員會Patrick McHenry和農業委員會Glenn Thompson。這是一個工作草案,有一些主要部分需要理順。

Garrison認為,該法案強有力的部分包括它如何為代幣發行者建立一條注冊的道路,這是交易所和加密貨幣公司提出的一個關鍵問題。它還使披露要求適當地明確和嚴格,確保監管機構將有關于代幣的經濟和分配計劃的充分信息。該法案尚未正式提出,立法者可能會等待兩黨的支持,然后再將其提交到議會。[2023/6/26 21:59:34]

0x8bb8dc5c7c830bac85fa48acad2505e9300a91c3ff239c9517d0cae33b595090攻擊過程精析

MAP Protocol發布BRC-201代幣跨鏈標準:5月19日消息,全鏈互操作協議 MAP Protocol 發布 BRC-201 代幣跨鏈標準,并將在近期推出 BRC-20 的賬本解析與索引庫 API 服務。BRC-201 代幣跨鏈標準與 BRC-20 兼容,以提高可擴展性,譬如將 BRC-20 代幣橋接到支持智能合約的鏈,如以太坊、BNB Chain、NEAR 等,以賦予 BRC20 資產融入 DeFi 等金融場景和應用。BRC-201 是去中心化的 BRC-20 跨鏈標準協議,支持 BRC-201 的增強索引器可以解析額外的擴展操作。此標準可滿足交易所等機構對于 BRC20 資產的充提技術需求,并支持 BRC-20 資產跨鏈后融入 DeFi 等金融場景和應用,后續也將增加對 BTC 生態 NFT 的支持。[2023/5/19 15:13:47]

攻擊者首先利用Uniswap進行閃電貸借款,并采用鑲嵌式的手法,在WBTC2、USDC3以及USDT2池中分別進行了WETH借貸,如下圖所示:

派盾:標記為Genesis休眠地址將6.4萬枚ETH轉移到0x3113開頭地址:金色財經報道,派盾(PeckShield)監測顯示,標記為Genesis的休眠地址將6.4萬枚ETH(約7760萬美元)轉移到0x3113開頭地址,隨后將約5.5萬枚WETH存入MakerDAO,然后從MakerDAO借出約2500萬美元DAI,然后將400萬枚DAI轉移到Coinbase、100萬枚DAI轉移到Kraken。[2023/1/5 9:53:38]

其后,為擴大用于攻擊的資金量,攻擊者又在dYdX進行了閃電貸借款。如下圖所示:

MetaMask開發商ConsenSys與PayPal達成合作:金色財經報道,MetaMask開發商ConsenSys與知名支付公司PayPal達成合作,PayPal將無縫整合到MetaMask錢包內,為客戶提供一個簡單方便的方式,用PayPal購買以太坊。這項新功能從今天開始向部分美國用戶提供,并在未來幾周向所有符合條件的美國客戶推出。[2022/12/15 21:45:40]

此時,借出的資金規模已高達近2億美元.接下來,攻擊者向Uniswap的DAI2交易池中注入流動性,獲取了流動性代幣LP,如下圖所示:

然后,將所獲的LP代幣抵押在WarpFinance合約中,交易及代碼如下圖:

完成抵押后,攻擊者利用借來的資金,將UniswapDAI2池中的DAI兌換殆盡,如下圖所示:

上述“準備工作”完成后,價格已處于被操縱狀態。另一方面,WarpFinance的預言機喂價源是來自UniswapLP代幣的價格數據,代碼如下圖:

LP代幣價格算法

/LP代幣的總量其中,A代幣與B代幣的價格是由Uniswap的“對應代幣與穩定幣”交易對計算得出。因此,在上述情況下,A、B代幣的價格處于正常水平、而交易對中的A、B代幣相對價格則已經發生異常。這是因為Uniswap采用恒定乘積做市商機制,即A×B=K。當出現大量的兌換某一種代幣時,就會產生巨大的滑點,從而產生價差。假設:A=A代幣數量;B=B代幣數量;AP=A代幣價格;BP=B代幣價格已知:A×B=k;Warp價格=/totalLP因AP和BP在本事件中皆為恒定,故可設AP=X1×BP,化簡可得Warp價格=/B+B)×BP/totalLP可得結論為,X1×K、BP和totalLP在攻擊中都是常數,隨著B的數量增大,LP價格就會提高。攻擊者正是利用了這一點,使用從閃電貸獲取的巨額資金在交易池中海量添加其中一種代幣的流動性,迫使另一種代幣也隨之巨增,從而引發LP的價格失衡。由于LP價格已被操縱,處于一個高位,因此,攻擊者可以借出相比正常量更多的資產。此后,攻擊者即通過調用以下函數進行貸款。

在成功控制抵押價格后,攻擊者便能利用錯誤的價格數據貸出遠遠超過抵押品價值的資產,從中獲取暴利。最后,攻擊者歸還了閃電貸的款項,如下圖所示:

事件小結

很明顯,這又是一起典型的由閃電貸巨款發起的預言機攻擊事件。成都鏈安曾撰文指出,在當前黑客眾多的攻擊手法中,“預言機”喂價控制才是隱形的“元兇”。同時,成都鏈安也鄭重提醒DeFi開發者,應加強預言機的針對性測試,特別是在項目上線前,盡可能模擬價格操控攻擊的各類場景,及時發現問題并找出解決方案,切實提高項目抗預言機攻擊的能力。短短一個月后,巨額的財產損失再一次告誡我們,在區塊鏈領域中,安全防護工作尤為重要,許多系統安全漏洞屬于防不勝防。因此,我們必須采取積極措施形成連續、有效的保護方案,才能在最大程度上提前規避問題。此外,如在DeFi項目運行中存在安防方面的任何技術問題,采取第三方安全技術解決方案不失為一種行之有效的辦法。最后,成都鏈安再次呼吁,要加強對項目預言機等多方面的定期安全檢測,以防范此類事件的再度發生。

Tags:BRCARPWARWARPbrc幣未來價格BitRewards CoinWarp Cash

火幣網下載官方app
IRA:Kira世界整合全球資產

公鏈發展過程幾乎可以說是我們認識區塊鏈的一個自然演化的過程,從一開始的共識算法的研究,到可擴展性的探索,到生態的綜合建設以及社區的治理,大家都在從不同的角度來不斷的試錯.

1900/1/1 0:00:00
穩定幣:Rebase算法穩定幣,搶了機構的生意分給了所有用戶,就如打土豪分田地

編者按:本文來自小吒閑談,Odaily星球日報經授權轉載。穩定幣是幣圈繞不開的話題,也是繞不開的東西。起初沒有穩定幣啥事情,因為那會法幣出入很方便,交易直接用法幣作為交易對.

1900/1/1 0:00:00
SEC:SEC準備起訴瑞波、幣價下跌超17%、靠賣幣為生的瑞波能走多遠

編者按:本文來自幣乎,作者:大白高國,星球日報經授權發布。提到瑞波幣大家都應該不陌生,在今年的機構牛中,除了比特幣和以太坊這兩個主角之外,瑞波幣和辣條也是山寨幣中非常不錯的兩個幣種,受到了大家的.

1900/1/1 0:00:00
比特幣:谷燕西:比特幣礦工需要考慮如何使用期權

比特幣發展到今天,它的運作模式越來越像石油大豆這樣的大宗商品。一方面它有著實際的生產過程,礦工們在利用自己的設備通過挖礦來生產出比特幣。另一方面,在交易市場,市場中有大量比特幣現貨和衍生品交易.

1900/1/1 0:00:00
OEC:三年磨一劍,OEC研發之路

作為區塊鏈的底層架構,公鏈既能保證去中心化交易的安全和匿名,又能滿足不同交易場景的高頻交易需求。研發高性能的公鏈,一直是公鏈研發機構的終極目標.

1900/1/1 0:00:00
數字貨幣:極客礦業白皮書正式發布:詳解極客礦業使命、主營業務、優勢及未來

一、前言 在一站式挖礦服務平臺這個賽道,極客礦業已經成為一股重要力量,為用戶提供最值得信賴的服務.

1900/1/1 0:00:00
ads