ULT:Flurry Finance被盜事件分析：項目不立于「危墻之下」-ODAILY

北京時間2022年2月22日下午1:46，CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動，FlurryFinance的Vault合約受到攻擊，價值約29.3萬美元的資產被盜。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

攻擊步驟

①攻擊者部署了一個惡意代幣合約，并為代幣和BUSD創建了一個PancakeSwap交易對。

攻擊者：https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

流動性激勵協議Fluidity完成130萬美元融資:10月31日消息，流動性激勵協議Fluidity完成130萬美元種子輪融資，Multicoin Capital領投，參投方包括Circle Ventures、Solana Ventures、Lemniscap、NGC Ventures、Skyvision Capital、Bitscale、Koji Capital、Meld Ventures、Grug Capital，個人投資者包括 ZachXBT、DCF GOD、Eden Au（The Block）、Igor Igamberdiev（The Block）、credit、BigDSenpai、MrBlock 和 ivangbi（Gearbox DAO）。[2022/10/31 12:01:36]

惡意代幣合約：https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

Flutterwave通過Stellar開啟新的歐洲-非洲支付走廊:10月25日消息，Stellar發展基金會（SDF）宣布，全球支付技術公司Flutterwave已經在Stellar網絡上開通了兩條新的歐洲和非洲匯款通道。通過與TEMPO合作，Flutterwave正在利用Stellar網絡和Stellar USDC簡化非洲的匯款。（PR Newswire）[2021/10/25 20:55:50]

PancakeSwap交易對：https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

②攻擊者從Rabbit的Bank合約中進行閃電貸，并觸發了StrategyLiquidate的execute方法。

多鏈借貸協議Flux Protocol將于7月15日14:00上線MEXC:據官方公告，7月15日14:00，MEXC創新區將上線Flux Protocol(FLUX)，充值及提現已開啟。

資料顯示，Flux是一家基于Conflux、Heco、BSC、OEC的多鏈借貸協議。[2021/7/14 0:51:41]

execute方法將輸入數據解碼為LP代幣地址，并進一步得到惡意代幣合約地址。

攻擊者利用惡意代幣合約中的攻擊代碼發起初步攻擊：https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

StrategyLiquiddate合約：https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

FLUX借貸協議和YFII達成戰略合作，將支持YFII借貸與挖礦:據官方消息，DeFi借貸FLUX和YFII正式達成戰略合作協議，雙方將在品牌、社群等領域深度合作，共同建設DeFi生態。產品上線后，FLUX聯合YFII開啟1池，同時啟動YFII幣種抵押借貸。另外，FLUX將協助YFII在Conflux公鏈上部署多策略機槍池產品。

據悉，YFII為布局多條公鏈收益聚合協議，擁有國內外龐大社區資源，是中國DeFi項目DAO治理典范，長期致力于推進中國DeFi生態的融合發展。

FLUX是新一代DeFi底層數字資產抵押借貸協議，采用完全自主開發的利率、借貸、清算模型，致力于構建安全穩健的去中心化借貸市場。協議產品將會在3月份正式開啟。[2021/2/4 18:52:57]

Conflux聯合創始人張元杰,頭部玩家稱霸，DeFi淪為大戶游戲:8月21日，在以“DeFi-如何抓住大潮中的機遇？”為主題的金色沙龍中，Conflux聯合創始人張元杰以Gas Fee如何阻礙著DeFi的創新和冷啟動為主題發表了演講，張元杰表示，雖然Defi熱度很熱，但它的用戶增長量并沒有像它的熱度一樣有一個質的飛越。根據數據顯示6月15日Compound項目發行以來，用戶增長量僅為7萬，對于一個新興的行業來說這樣的用戶增長量是非常薄弱的。即使是像YFI、YAM在近期比較火熱的項目，地址數只有5000多個，最多是1萬多個，從這些數據可以看到所謂的Defi的暴富只在小眾人身上。普通用戶往往無力承擔高額的手續費，也容易以“接盤”的方式在中心化交易所收割。Conflux作為中國的新生代高性能公鏈，希望彌補以太坊的不足，為更多的小額轉賬、小額支付、小型玩家創造更多應用的空間和可能性。[2020/8/21]

③惡意代幣合約調用FlurryRebaseUpkeep合約的performUpkeep方法，對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。

此處的multiplier將用于Rho代幣的余額計算。對Vault合約的相關金額進行重新統計，并更新了與之相關的Rho代幣的multiplier。此處的multiplier將用于Rho代幣的余額計算。該更新基于與Vault合約相關的盈利策略合約里的余額。

更新是在閃電貸的過程中觸發的，此時的閃電貸還未結束，借出的金額也還未歸還，因此Bank合約的當前余額遠小于正常值。此Bank合約也是某個strategy的一部分，因而使得某strategy的余額小于正常值，進一步導致multiplier小于正常值。

FlurryRebaseUpkeep合約：https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

其中一個Vault的合約：https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

④攻擊者歸還了閃電貸的款項并完成了初步攻擊，且為進一步攻擊獲利做好了準備。

⑤在緊接著的交易中，攻擊者以前一次交易中得到的低multiplier存入代幣，將multiplier更新為更高的值，并以高multiplier提取代幣。例如，在其中一筆初步攻擊的交易中，multiplier被更新為4.1598e35。

在進一步攻擊的交易中multiplier被更新為4.2530e35。

攻擊實例：https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

⑥因為multiplier乘數是決定Rho代幣余額的因素之一：

攻擊者的Rho代幣余額在交易中增加了，所以ta能夠從Vault中提取更多的代幣。

⑦攻擊者多次重復這一過程，從Vault合約中盜走了價值29.3萬美元的資產。

寫在最后

該次事件主要是由外部依賴性引起的。

因此CertiK的安全專家建議：項目在與外部合約交互之前應對其安全性有清晰的認知，并且限制外部依賴可能對自身合約的影響。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

Tags：ULTFLUXLUXULTIMINUTE Vault (NFTX)flux幣行情LUXE價格MultiVAC

MATIC