比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > TRX > Info

COI:不再安全的TWAP預言機?VesperFi Fianance被黑事件分析 -ODAILY

Author:

Time:1900/1/1 0:00:00

前言

11月3日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊,損失超300萬美元。

知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

攻擊流程簡析

攻擊分為兩部分:

第一部分:攻擊階段

交易哈希:0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻擊者向pool添加(VUSD對USDC為無窮大)的0.1USDC流動性

Vitalik Buterin:我已不再是億萬富翁了:金色財經報道,由于加密市場下挫,以太坊聯合創始人 Vitalik Buterin 財富也出現縮水,他在社交媒體上最新發言中寫道:“我已不再是億萬富翁了。” (I’m not a billionare anymore)不過,Vitalik Buterin此前在接受彭博社采訪時曾表示:“凡是深入研究過加密貨幣的人都知道,這一領域的BUIDLer其實都很喜歡熊市。”[2022/5/21 3:32:56]

聲音 | 媒體:馬耳他已不再是區塊鏈企業的避風港:CoinGape發文稱,馬耳他已不再是區塊鏈企業的避風港。世界銀行《營商環境報告2020》將“加密友好國家”馬耳他列為歐盟中企業經營便利度最低的國家。在最新排名中,馬耳他的排名比2018年低12位,列全球第88位。盡管馬耳他一直以支持區塊鏈的立場而聞名,但最新的報告證實,在過去一年里,該國部門加密貨幣交易所和企業經歷了關閉和投訴。今年9月,馬耳他金融服務管理局出臺了新的反洗錢法律,以遏制洗錢和詐騙活動。一個月后,Bittrex宣布他們已離開該國,前往列支敦士登,并將其國際平臺更名為Bittrex Global。(CoinGape)[2019/11/8]

動態 | 巴克萊銀行不再與Coinbase交易所合作:據CoinDesk消息,巴克萊銀行不再與加密貨幣交易所Coinbase合作。知情人士表示,雖然Coinbase以英國Clearbank銀行作為替代,但這一變化間接給交易所的用戶帶來了不便。巴克萊將位于舊金山的Coinbase與英國的快速支付計劃系統(FPS)連接起來,使用戶能夠立即在交易所提取和存入英鎊。合作關系的結束擾亂了Coinbase對FPS的訪問,這耽誤了英國客戶的存取款時間。不過,由于Coinbase與ClearBank的新關系,這種情況只是暫時的,預計Clearbank將在第三季度末恢復Coinbase的FPS接入。[2019/8/14]

2.攻擊者通過Swap用232kUSDC兌換走pool內正常的222kVUSD流動性

英偉達首席執行官:高估市場需求 短期內不再推出新GPU:據CCN消息,根據GadgetNow 6月20日的報告,英偉達(Nvidia)首席執行官黃仁勛表示,在高估了加密貨幣礦工的需求后,該公司“在很長一段時間內不會推出任何新的GPU”。[2018/6/21]

第二部分:套利階段

交易哈希:0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通過Swap將222kVUSD兌換為2205MMfVUSD

2.將2205MM抵押置換成其他pool基礎代幣

攻擊原理分析

1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?

解決這個問題首先我們要知道UniswapV3使用的預言機為TWAP類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在TWAP獲取價格的時間周期中。

所以在黑客已經完成攻擊后,他并沒有基于兌換手中的VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段10塊高后。

攻擊交易哈希:

套利交易哈希:

2.至于添加流動性和兌換流動性得到解釋在UniswapV3中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。

因此添加過高的流動性可以讓TWAP發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓TWAP發現前一步驟以及套利。

總結

本次安全事件的主角雖然是\nVesperFiFianance,但是更讓人關心的是UniswapV3的TWAP預言機是否依然安全,可以觀察到并非TWAP\n預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許\npool內單個代幣不合理的流動性被設置。

知道創宇區塊鏈安全實驗室在此提醒,任何有關資金問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:COIOINCOINUSDapecoin幣未來價格coincheck下載Coincheck是什么平臺泰達幣usdt錢包下載

TRX
NFT:市場該如何建立 NFT 新秩序,實現資產增值?-ODAILY

2021年,NFT生態顯現出蓬勃發展的繁榮景象,主流市場也開始擁抱NFT熱潮。從六月份支付寶推出的敦煌飛天和九色鹿皮膚到近期騰訊空投「QQ企鵝頭像」,NFT不斷打破小眾圈層進入大眾視野.

1900/1/1 0:00:00
DAO:DAOrayaki:二次方融資的社交網絡-ODAILY

DAOrayakiDAO研究獎金池:注意:本文假設讀者已經熟悉二次方融資及其運轉機制。如果您不熟悉,請先查看https://wtfisqf.com/! 尋求更好的社交網絡.

1900/1/1 0:00:00
比特幣:比特幣的Taproot升級,會是一場及時雨嗎?-ODAILY

撰文:Footprint分析師Sabrina 日期:2021年11月 數據來源:FootprintAnalytics備受期待的比特幣升級Taproot于2021年11月14日在第709.

1900/1/1 0:00:00
DLO:除官方渠道外,普通用戶如何高效及多樣化的參與Kusama的Crowdloan?-ODAILY

Polkadot生態研究院出品,必屬精品 背景 自Kusama插槽拍賣第二輪正式開啟以來,可謂是精彩紛呈,超過16個項目參與到了第6次平行鏈拍賣中,而在昨日,經過焦灼的競賽后.

1900/1/1 0:00:00
元宇宙:圈內圈外共振,元宇宙離我們到底有多遠?-ODAILY

這兩年,隨著牛市行情的持續,區塊鏈行業的相關概念也獲得了資金的爆炒,如公鏈、去中心化金融、NFT、元宇宙等等.

1900/1/1 0:00:00
元宇宙:"單一價值"——Indexed Finance閃電貸安全事件分析-ODAILY

前言 10月15日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議IndexedFinance遭遇閃電貸襲擊,損失超1600萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析.

1900/1/1 0:00:00
ads