DEI:詳解Deus Finance預言機攻擊-ODAILY

1.前言

北京時間2022年3月15日，知道創宇區塊鏈安全實驗室監測到DeusFinance遭到黑客攻擊，損失約300萬美元。本文，知道創宇區塊鏈安全實驗室對本次事件進行了全面分析。

2.基礎信息

攻擊者地址：0x1ed5112b32486840071b7cdd2584ded2c66198dd

攻擊合約：0xb8f5c9e18abbb21dfa4329586ee74f1e2b685009

DeiLenderSolidex合約：0xeC1Fc57249CEa005fC16b2980470504806fcA20d

肯尼亞央行不再將CBDC視為優先事項:金色財經報道，本周肯尼亞中央銀行公布了其中央銀行數字貨幣（CBDC）咨詢的結果。該國對在不久的將來發行電子先令（e-Shilling）不感興趣，但仍對可能改變當前支付格局的CBDC發展持開放態度。

反饋表明，CBDC被視為可能對普惠金融和跨境交易產生積極影響。

此次磋商是在央行去年發布的討論文件之后進行的，探討了未來CBDC的可行性。[2023/5/18 15:11:36]

甲骨文合約：0x5CEB2b0308a7f21CcC0915DB29fa5095bEAdb48D

交易哈希：0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c

SyncSwap：空投不會查用戶IP，未與VC達成合作:4月6日消息，據官方中文推特，SyncSwap回應來自社區對該項目的諸多質疑表示，空投活動并不會查用戶IP，該項目從測試到主網運行的過渡時長已一年有余。

此外，該項目還曾與zkSync總工程師以Argent項目方開會討論（會議內容未透露），并表示該項目沒有融資，IDO價格會由社區決定而不是團隊，曾與VC接觸，但最終并未達成合作。

此前報道，基于zkSync去中心化交易平臺SyncSwap今日發文稱將推出代幣SYNC。[2023/4/6 13:47:29]

3.漏洞分析

此次事件，漏洞關鍵在于協議通過StableV1AMM-USDC/DEI交易對在獲取價格時被攻擊者操控，導致普通用戶資產被清算，最終獲利。

拜登：將追究制造硅谷銀行“混亂”相關方面責任，并加強對大型銀行的監管力度:3月13日消息，美國總統拜登表示，很高興財政部迅速解決了硅谷銀行的問題，后續將致力于追究制造這場混亂的相關方面的責任，計劃繼續努力加強對大型銀行的監管力度。[2023/3/13 12:59:42]

DeiLenderSolidex合約的清算函數liquidate中，會通過isSolvent函數來判斷用戶是否應該被清算，而isSolvent調用Oracle.getPrice來問價判斷抵押物的價格，因而產生了漏洞

區塊鏈金融科技公司PolySign完成5300萬美元C輪融資:金色財經消息，區塊鏈金融科技公司PolySign完成5300萬美元C輪融資，投資方包括Cowen Digital、Brevan Howard、GSR Markets等。

除此之外，PolySign還從私募股權公司Boathouse Capital獲得2500萬美元的信貸額度。PolySign通過其子公司Standard Custody&Trust Company為投資者提供機構級基礎設施，并通過PolySign最近收購的MG Stover公司進行基金管理。（CoinDesk）[2022/6/28 1:36:47]

由函數getPrice可知，代幣價格算法：+）x10^18/

DEI的代幣價格是通過DEI和USDC在池子中的余額進行判斷的的，因此攻擊者利用閃電貸發起此次攻擊，控制了DEI代幣的價格。

4.攻擊流程

攻擊者從SPIRIT-LP_USDC_DEI中閃電貸借出約970萬DEI代幣，之后再次使用閃電貸從sAMM-USDC/DEI中獲取了2477萬DEI代幣用于操縱價格預言機

隨后清算價格操縱后的破產用戶

之后償還閃電貸到sAMM-USDC/DEI中

燒毀流動性代幣獲取521萬USDC和524萬DEI

使用521萬USDC換取517萬DEI

歸還從SPIRIT-LP_USDC_DEI中借的970萬DEI

最后攻擊者將獲取的DEI全部換成USDC，總獲利約300萬美元。

5.總結

本次攻擊事件核心是由于價格預言機對代幣價格的實現存在問題，使得能夠人為的通過池子中代幣的余額來對代幣價格進行控制，導致了此次事件的發生，建議官方在使用預言機時能夠嚴格控制價格的邏輯實現。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DEIUSDUSDCSDCDEIP幣usdn幣下架了嗎usdc幣與usdt幣哪個好CUSDC幣

以太坊交易所