本文由Certik原創,授權金色財經首發。
北京時間2022年4月28日10:40:14 ,CertiK審計團隊監測到DEUS Finance的合約被惡意攻擊,造成了約1570萬美元(折合人民幣約1.03億)的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。
據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]
攻擊步驟
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
②隨后攻擊者利用攻擊合約獲得了超過143,200,000 USDC用以發起攻擊。
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
③攻擊合約將這143,200,000 個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊,近日,百度超級鏈聯合百度百科,基于區塊鏈技術創建 “文博藝術鏈”,推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”,百度將與博物館共同推動線上藏品版權的確權與維護,同時探索線上藏品版權數字化交易方式,為合作的博物館提供更全面的服務和更多的權益。據介紹,此項目將分階段進行,一期將完成線上藏品的入鏈確權,為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續,百度還將推動AI與區塊鏈技術在文博領域的結合應用,用來保障上鏈數據與藏品相匹配,為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池(DeiLenderSolidex)中總計借貸到17,246,885 DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個 DEI交換到的143,184,725 USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH(總價值約1570萬美元)存入Tornado Cash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
使用時間加權平均價格(TWAP)。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
“五一”假期,在人民銀行廈門市中心支行和市金融監管局、市商務局的統籌推動下,廈門市開啟數字人民幣消費周活動,各大銀行、商戶主體積極協同,全鏈條搭建數字人民幣使用場景,滿足用戶消費需求.
1900/1/1 0:00:00來源公號:老雅痞 為什么500億美元(且不斷增長)的NFT市場需要5G?2021年是NFT的一年,大人物們紛紛加入到這個行業.
1900/1/1 0:00:004月23日,全球市值最高的運動品牌耐克(Nike)和加密時尚潮牌RTFKT推出了其首款基于以太坊的NFT運動鞋.
1900/1/1 0:00:00對于自己是如何上到加密Twitter(在加密圈通常被稱為“CT”),以及如何進入從去年夏天就開始潛伏的以加密為主的Telegram(TG)或Discord頻道,我難以確切地做出解釋.
1900/1/1 0:00:00如圖所示,目前BTC已經從頂部69000下滑至圖中綠線支撐區域,目前點位36800-37000區間,從前期1月首次觸碰反彈在回落,到目前已有3個多月時間位于這一帶消磨震蕩,到目前還未有效跌破.
1900/1/1 0:00:00DAO賽道的進化:阿桑奇、信徒、云國三大典型DAO分析 編者按 本文作者?徐徐有聲 是深度參與阿桑奇DAO等多個DAO運作的小女生,對DAO賽道理解深入.
1900/1/1 0:00:00