比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CELO:價格操縱攻擊有多猛? Market遭攻擊事件分析

Author:

Time:1900/1/1 0:00:00

2022年10月19日,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo生態上的Moola協議遭受攻擊,黑客獲利約840萬美元。

據悉,Moola Market是一個非托管的流動性協議。使用過度抵押貸款、委托貸款或閃電貸款的借款人支付利息,存款人可以賺取復利。攻擊發生之后,Moola Market 表示,其團隊正在積極調查這一事件,平臺上的所有活動都已暫停。

Buffer Finance:已補充價格操縱攻擊期間的流失資金,BLP:USDC匯率回到1:1:金色財經報道,Arbitrum生態去中心化期權交易應用Buffer Finance發推稱,Buffer財庫已補充在價格操縱攻擊期間通過SOL/USD對從資金池中流失的資金,BLP:USDC匯率回到1:1。團隊表示,關于此次攻擊與恢復的詳情將很快公布。[2023/2/27 12:31:50]

關于本次攻擊事件,Beosin安全團隊第一時間進行了分析,結果如下:

#事件相關信息

攻擊者地址

0x5DAE2C3d5a9f35bFaf36A2E6edD07c477f57789e

安全公司:CoFiXProtocol項目遭受價格操控攻擊,攻擊者獲利約14萬美元:據成都鏈安安全輿情監控數據顯示,CoFiXProtocol項目遭受價格操控攻擊。成都鏈安安全團隊對此次攻擊事件分析后,發現攻擊者先從先閃電貸借出大量BSC-USD,再用BSC-USD兌換出DCU。然后攻擊者通過利用Router合約的swapExactTokensForTokens沒有校驗to地址是否是msg.sender的漏洞,將對Router合約有大額授權的to地址中的BSC-USD經過BSC-USD -> DCU -> PRC的兌換路徑兌換為RPC,導致LP中DCU的價格升高,最后通過前面兌換的DCU重新高價兌換成BSC-USD從而獲利。目前攻擊者實施了三次攻擊,總計獲利約145,491 BSC-USD(價值14萬美元),已經兌換為BUSD并轉移到攻擊者的其他地址(0x5443...d7D6)中 。對此,成都鏈安安全團隊建議用戶在對合約授權時按需授權,授權值不要超過本次需要轉移的代幣的數量,避免因為過多授權造成意外損失。[2022/6/2 3:57:41]

通過下圖可以注意到黑客的起始資金為18萬枚CELO(價值約13萬美元),準備就緒之后,黑客便開始了他的攻擊之旅。

成都鏈安:hackerDao項目遭受價格操控攻擊,獲利資金已轉至Tornado.cash:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析,發現攻擊者先從先閃電貸借出2500WBNB,拿出部分WBNB兌換出大量hackerDao,然后將這筆hackerDao發送WBNB/hackerDao;并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時,如果轉賬接收地址是BUSD/hackerDao時,會同步減少發送者的代幣余額以收取手續費,因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少,從而影響該交易對的代幣價格,使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時,獲取額外的收益。目前攻擊者實施了兩次攻擊,總計獲利約200BNB,已經轉至Tornado.cash 。[2022/5/24 3:38:37]

BKCM創始人Brian Kelly:美國司法部調查比特幣價格操縱從長遠來看是一件好事:加密貨幣投資公司BKCM LLC首席執行官者Brian Kelly近日表示,美國司法部對比特幣操縱的調查從長遠來看是件好事情。他說:“如果美國司法部和CFTC覺得他們已經“清理”了市場,那么這將為美國支持的比特幣ETF鋪平了道路,并引導機構投資者入場。”[2018/5/25]

第一步:看下圖,可以看到攻擊者進行了多筆交易,用CELO買入MOO。

第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。

第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,MOO對應CELO的價格變高。

第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。

-8.82M CELO(25次借貸)

-1.85M MOO(1次借貸)

-765k cEUR(1次借貸)

-66k cUSD(1次借貸)

本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。

抵押借貸合約支持4種代幣的借貸CELO,cEUR,cUSD,MOO。推測抵押借貸合約中每種代幣的價格可能是由其與CELO的交易對進行判斷的。因為后3種代幣未進行過交換,所以價格沒有改變,只借貸了一次。

截至發文時,攻擊者將約93.1%的所得資金返還給了Moola Market項目方,將50  CELO捐給了impact market。自己留下了總計65萬個CELO作為“賞金”。

Beosin

企業專欄

閱讀更多

金色早8點

區塊律動BlockBeats

金色財經

1435Crypto

吳說區塊鏈

blockin

比推 Bitpush News

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags:CELOCELMOOUSDcelo幣為什么暴跌MOONI幣usdt幣交易違法嗎香港

歐易okex官網
BTC:金色早報 | 比利時FSMA:比特幣、以太坊無需遵守金融規則

金色財經報道,比利時金融服務和市場管理局(FSMA)周四表示,比特幣 (BTC) 和以太坊 (ETH) 等沒有發行商的加密貨幣不是證券,無需遵守金融規則.

1900/1/1 0:00:00
FTX:律師談臺灣FTX 受害者現狀、原因與后續事件走向

受訪者:臺灣傷澄法律事務所 采訪者:吳說區塊鏈 注:作者與受訪者無商業合作關系截止到目前為止,我們接受的客戶中,臺灣大概是九百五十個人左右,損失在500萬元美元以上的,大概是四位.

1900/1/1 0:00:00
WEB:以更長遠的眼光看待Web3

來源:Fred Wilson、Katie Haun本文的發現有點巧,筆者在11月13日,針對FTX和目前加密市場的情況,在推特上AT了USV的合伙人Fred Wilson.

1900/1/1 0:00:00
FTX:金色早報 | 兩家與FTX有關的審計公司或將面臨審查

▌兩家與FTX有關的審計公司或將面臨審查金色財經報道,據英國金融時報披露,兩家與FTX有關的審計公司Armanino和PragerMetis或將面臨審查,這兩家審計公司均對FTX賬簿進行過審計.

1900/1/1 0:00:00
CRYPTO:Crypto.com 是否會成為下一個擠兌受害者?

巨量資金涌入市場啟動了2020 年幣圈的牛市行情,投資人的情緒與風險偏好隨之變得更為高昂與積極。貪婪和錯失恐懼(FOMO)的心態讓投資人忽視了投資的潛在風險.

1900/1/1 0:00:00
區塊鏈:詳解去中心化視頻流媒體平臺:Web3版“奈飛”在哪里?

原文:《Exploring Blockchain Video Streaming Platforms》by Agustinus Theodorus加密貨幣開啟了一系列新的激勵模式.

1900/1/1 0:00:00
ads