1.前言
北京時間2022年3月15日,知道創宇區塊鏈安全實驗室監測到DeusFinance遭到黑客攻擊,損失約300萬美元。本文,知道創宇區塊鏈安全實驗室對本次事件進行了全面分析。
2.基礎信息
攻擊者地址:0x1ed5112b32486840071b7cdd2584ded2c66198dd
攻擊合約:0xb8f5c9e18abbb21dfa4329586ee74f1e2b685009
DeiLenderSolidex合約:0xeC1Fc57249CEa005fC16b2980470504806fcA20d
肯尼亞央行不再將CBDC視為優先事項:金色財經報道,本周肯尼亞中央銀行公布了其中央銀行數字貨幣(CBDC)咨詢的結果。該國對在不久的將來發行電子先令(e-Shilling)不感興趣,但仍對可能改變當前支付格局的CBDC發展持開放態度。
反饋表明,CBDC被視為可能對普惠金融和跨境交易產生積極影響。
此次磋商是在央行去年發布的討論文件之后進行的,探討了未來CBDC的可行性。[2023/5/18 15:11:36]
甲骨文合約:0x5CEB2b0308a7f21CcC0915DB29fa5095bEAdb48D
交易哈希:0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c
SyncSwap:空投不會查用戶IP,未與VC達成合作:4月6日消息,據官方中文推特,SyncSwap回應來自社區對該項目的諸多質疑表示,空投活動并不會查用戶IP,該項目從測試到主網運行的過渡時長已一年有余。
此外,該項目還曾與zkSync總工程師以Argent項目方開會討論(會議內容未透露),并表示該項目沒有融資,IDO價格會由社區決定而不是團隊,曾與VC接觸,但最終并未達成合作。
此前報道,基于zkSync去中心化交易平臺SyncSwap今日發文稱將推出代幣SYNC。[2023/4/6 13:47:29]
3.漏洞分析
此次事件,漏洞關鍵在于協議通過StableV1AMM-USDC/DEI交易對在獲取價格時被攻擊者操控,導致普通用戶資產被清算,最終獲利。
拜登:將追究制造硅谷銀行“混亂”相關方面責任,并加強對大型銀行的監管力度:3月13日消息,美國總統拜登表示,很高興財政部迅速解決了硅谷銀行的問題,后續將致力于追究制造這場混亂的相關方面的責任,計劃繼續努力加強對大型銀行的監管力度。[2023/3/13 12:59:42]
DeiLenderSolidex合約的清算函數liquidate中,會通過isSolvent函數來判斷用戶是否應該被清算,而isSolvent調用Oracle.getPrice來問價判斷抵押物的價格,因而產生了漏洞
區塊鏈金融科技公司PolySign完成5300萬美元C輪融資:金色財經消息,區塊鏈金融科技公司PolySign完成5300萬美元C輪融資,投資方包括Cowen Digital、Brevan Howard、GSR Markets等。
除此之外,PolySign還從私募股權公司Boathouse Capital獲得2500萬美元的信貸額度。PolySign通過其子公司Standard Custody&Trust Company為投資者提供機構級基礎設施,并通過PolySign最近收購的MG Stover公司進行基金管理。(CoinDesk)[2022/6/28 1:36:47]
由函數getPrice可知,代幣價格算法:+)x10^18/
DEI的代幣價格是通過DEI和USDC在池子中的余額進行判斷的的,因此攻擊者利用閃電貸發起此次攻擊,控制了DEI代幣的價格。
4.攻擊流程
攻擊者從SPIRIT-LP_USDC_DEI中閃電貸借出約970萬DEI代幣,之后再次使用閃電貸從sAMM-USDC/DEI中獲取了2477萬DEI代幣用于操縱價格預言機
隨后清算價格操縱后的破產用戶
之后償還閃電貸到sAMM-USDC/DEI中
燒毀流動性代幣獲取521萬USDC和524萬DEI
使用521萬USDC換取517萬DEI
歸還從SPIRIT-LP_USDC_DEI中借的970萬DEI
最后攻擊者將獲取的DEI全部換成USDC,總獲利約300萬美元。
5.總結
本次攻擊事件核心是由于價格預言機對代幣價格的實現存在問題,使得能夠人為的通過池子中代幣的余額來對代幣價格進行控制,導致了此次事件的發生,建議官方在使用預言機時能夠嚴格控制價格的邏輯實現。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Bitfinex希望薩爾瓦多的「比特幣債券」只是其平臺上眾多代幣化產品之一金色財經消息,Bitfinex希望薩爾瓦多的「比特幣債券」只是其平臺上眾多代幣化產品之一.
1900/1/1 0:00:00流動性挖礦涉及在智能合約中存入加密資產,以換取收益 流動性挖礦可能涉及相當大的風險。本文僅用于教育目的,不應被視為財務建議。在做出任何投資決定之前,請考慮您的個人風險狀況.
1900/1/1 0:00:00該活動是通過Copper的LBP進行的,確保通證以更公平的方式分配,這符合使DeFi更加公平Minterest精神.
1900/1/1 0:00:00北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin.
1900/1/1 0:00:00世界各地的音樂家也開始擁抱這一創新媒介形式,為音樂產業注入新的活力。從未發行的曲目到獨家完整的專輯,藝術家們現在可以直接以NFT的形式發布他們的歌曲,并直接從他們的粉絲那里獲得收入,沒有任何中間.
1900/1/1 0:00:002021年是加密市場創紀錄的一年,投資機構和散戶都或多或少受益。對于大多數分析師和行業人士而言,2022年將是加密資產采用率增加的又一年,無論是在其作為投資工具和通脹對沖的潛力方面,還是在其細分.
1900/1/1 0:00:00