BAB:重蹈覆轍？為何DEUS協議再受攻擊-ODAILY

前言

北京時間4月28日，Fantom平臺DEUS協議又一次遭到攻擊，損失約1340萬美元，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx：0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

礦企Argo Blockchain通過發行新股籌集了750萬美元:金色財經報道，加密貨幣礦企Argo Blockchain通過發行新股籌集了570萬英鎊（750萬美元）。這家在倫敦證券交易所上市的公司周三表示，此次出售包括籌集513.4萬英鎊的私募和籌集61.6萬英鎊的公開發售。該資金將用于減少公司的未償債務。[2023/7/19 11:04:52]

攻擊合約：0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C

波場網絡正式通過第82號委員會提議:據官方消息，波場網絡已于新加坡時間2023-1-20 14:00:00正式通過了第82號委員會提議。第82號委員會提議的主要內容是修改第67號網絡參數。該提議生效后將大幅提高投票獎勵計算相關交易的執行速度，特定情況下，賬戶提取獎勵交易的性能將提升99.9%。[2023/1/20 11:23:10]

攻擊者：0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb

資管協議Babylon Finance將停止運營，財庫資產將分配給BABL和hBABL持有者:金色財經消息，資管協議Babylon Finance創始人Ramon Recuero表示，Babylon Finance將于11月15日開始停止運營，財庫資產將從9月6日開始分配給BABL和hBABL持有者。Ramon Recuero表示Rari Capital于4月底遭到黑客攻擊后引發了一系列連鎖反應：首先協議損失了340萬美元，用戶也在攻擊發生后撤回了相當于協議TVL75%的資金，此外BABL也不再被允許作為抵押品進行借貸。目前，Babylon Finance已沒有足夠的資金支持在11月之后繼續運營，故將從9月開始分配財庫資產并將歸還所有應屬于團隊的BABL代幣。[2022/9/1 13:01:33]

攻擊流程

1、從StableV1AMM多個包含USDC的交易對中，閃電貸共借出143,200,000USDC；

2、143,200,000USDC兌換為9,547,716DEI，抬高了交易對中DEI的價格；

3、71,436DEI作為抵押品，借出17,246,885DEI；

4、9,547,716DEI兌換回143,184,725USDC，USDC/DEI交易對價格回復正常；

5、歸還閃電貸。

漏洞原理

問題根源在于Oracle喂價合約中，價格計算取決于交易對的余額數量，容易通過閃電貸操縱

總結

此次攻擊事件的核心在于用于喂價的預言機合約的定價機制存在缺陷，僅通過交易對的代幣余額計算而來，容易被閃電貸操縱。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：BABABLBABLDEIBaby Vizsla InuLeapableIOBABL價格dei幣行情

BNB價格