11月3日,知道創宇區塊鏈安全實驗室 監測到 以太坊上的 DeFi 協議 VesperFi Fianance 遭遇預言機操控攻擊,損失超 300 萬美元。知道創宇區塊鏈安全實驗室 第一時間對本次事件深入跟蹤并進行分析。
攻擊分為兩部分:
第一部分:攻擊階段
交易哈希:
0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c5
1.攻擊者向 pool 添加(VUSD 對 USDC 為無窮大)的 0.1USDC 流動性
馬斯克和Apollo Global Management將“不再討論”收購Twitter的潛在融資交易:金色財經報道,據路透社消息,Apollo Global Management 和伊隆·馬斯克將“不再討論”收購 Twitter 的潛在融資交易。此前,Apollo Global Management 曾考慮參與馬斯克今年 4 月以 440 億美元或每股 52.40 美元收購 Twitter 的要約,當時該資產管理公司曾表示希望權衡是否應該向另一位投標人提供適當的股權或債務來進行收購,而且還尋求為馬斯克的 Twitter 投標牽頭優先融資。 (The Block)[2022/10/6 18:40:49]
央廣網:此前宣稱不再為大陸地區用戶提供服務的幣安仍在提供相關服務:近日,央廣網財經記者調查發現,此前宣稱不再為大陸地區用戶提供服務的虛擬貨幣交易所幣安仍有提供相關服務,幣安方面則回應稱相關網站為測試網站,網站大部分用戶來自埃及。此外記者留意到,近年來幣安曾不止一次卷入黑客事件。
幣安方面對此回應稱,幣安擁有一支非常龐大的安全團隊和非常嚴苛的風控系統,在全球安全領域一直在源源不斷地做出努力。(央廣網)[2020/6/9]
公告 | BitMEX:3月12日起不再支持api-nonce標頭:3月5日,BitMEX官方微博發布消息:作為我們的API和交易系統架構的持續簡化的一部分,從2019年3月12日星期二開始,系統將不再支持api-nonce標頭。在驗證的時候,BitMEX不會檢查增加的nonce。nonce方案對于生成API身份驗證的簽名仍然有效。由于TLS,用戶的請求仍然可以免受重放攻擊。[2019/3/5]
2.攻擊者通過 Swap 用 232k USDC 兌換走 pool 內正常的 222k VUSD 流動性
第二部分:套利階段
0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf8092
1.通過 Swap 將 222k VUSD 兌換為 2205MM fVUSD
2.將 2205MM 抵押置換成其他 pool 基礎代幣
1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?
解決這個問題首先我們要知道 Uniswap V3 使用的預言機為 TWAP 類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在 TWAP 獲取價格的時間周期中。
所以在黑客已經完成攻擊后,他并沒有急于兌換手中的 VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段 10 塊高后。
攻擊交易哈希:
套利交易哈希:
2.至于添加流動性和兌換流動性得到解釋
在 Uniswap V3 中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。因此添加過高的流動性可以讓 TWAP 發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓 TWAP 發現前一步驟以及套利。
本次安全事件的主角雖然是 VesperFi Fianance,但是更讓人關心的是 Uniswap V3 的 TWAP 預言機是否依然安全,可以觀察到并非 TWAP 預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許 pool 內單個代幣不合理的流動性被設置。
Tags:USDNCESWAPVUSDWCUSD價格Financial Intelligence Group TokenSWAPS幣VUSD價格
4月10日,據新華財經中國金融信息網報道,在“2019中國國際區塊鏈技術與應用大會”上,中國電子技術標準化研究院區塊鏈研究室主任李鳴透露,預計國內將于年底發布區塊鏈標準化定義.
1900/1/1 0:00:00本報訊 (記者 卞軍凱) 近日,福州市立足區塊鏈產業發展需求,出臺《關于加快區塊鏈產業發展的三條措施》.
1900/1/1 0:00:00據外媒消息,今日VISA正式宣布放棄對Plaid的收購,這場從2020年初就開啟的收購經歷重重阻礙,終于投降在了反壟斷的鐵錘之下.
1900/1/1 0:00:00Multicoin Capital的Principal Vishal Kankani在推特上分享了關于為什么 Web3 組織 (DAO) 將成為人類和機器的最重要組織方式的一些思考.
1900/1/1 0:00:00本文由公號"老雅痞"(laoyapicom)授權轉載在SushiSwap出現領導力危機和我自己在金融界有了一些地位之后,我開始更多的思考關于組織實際結構的治理問題.
1900/1/1 0:00:002020 年,戴安等人發布了一份論文,通過將焦點放在一個明顯的區塊鏈網絡安全性和穩定性問題上,震撼了加密貨幣世界:礦工可提取價值(MEV)。簡而言之:特權參與者有能力從其他人的交易中獲利.
1900/1/1 0:00:00