北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失。
攻擊者惡意操縱DEI的價格,從DeiLenderSolidex合約中通過提供少量的抵押品提取了大量的DEI。
漏洞交易
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
MakerDAO就利用閃電貸操縱治理投票發出警告:金色財經報道,MakerDAO就DeFi協議團隊利用閃電貸操縱治理投票發出警告。具體來說,B Protocol的團隊希望被列入白名單,以便訪問MakerDAO的價格預言。因此,他們提交提案以便于10月23日獲得批準。三天后,多項交易被創建并處理。首先是借入ETH,然后將其用作抵押品以借入價值700萬美元的MKR。新借來的MKR被用于投票,然后返回其被借出的市場。MakerDAO表示,這一事件為社區提供了一個例子,即閃電貸可能會影響系統治理,并強調需要積極監控MKR市場流動性。[2020/10/29]
攻擊步驟
觀點:COMP近期驚人的價格表現可能是衍生品交易員操縱的結果:Independent Crypto博客作者、Decentraland產品負責人Tony Sheng發文稱,COMP的暴漲暴跌可能是衍生品交易員操縱的結果。該篇文章指出,由于COMP在推出時之時市場流動性非常差(僅上線少數交易所),交易員可以通過相對較小的購買訂單推高現貨價格,以確保利用FTX合約建立的更大價值的多頭頭寸獲利。
加密貨幣資產管理公司Carbono的創始人Raul Marcos也發推稱:“目前的COMP期貨交易是一堂操縱市場的大師級課程。”(Cointelegraph)[2020/6/26]
①攻擊者部署攻擊合約并向借貸池DeiLenderSolidex合約提供抵押。
聲音 | 德國聯邦金融監管局:不了解加密交易平臺的網絡事件或市場操縱行為:據cointelegraph報道,根據5月28日發布的新聞稿,德國金融監管機構并不了解該國加密交易平臺發生的“網絡事件”或市場操縱行為。德國聯邦金融監管局(BaFin)回應了該國中間派政黨自由民主黨(FDP)關于網絡攻擊信息的問題,涉及加密資產的欺詐、洗錢和市場操縱。BaFin表示,涉及加密資產的欺詐行為不會在犯罪統計數據中單獨報告。除了公開事件之外,聯邦政府沒有關于加密貨幣和ICO(德國或歐盟的ICO)領域的欺詐信息。該機構還指出,聯邦刑事警察局了解有關洗錢的調查和定罪,其中包括暗網交易的非法比特幣收入通過銀行賬戶進行洗錢的行為,或在暗網上為販的比特幣收入提供洗錢服務。[2019/5/29]
②隨后攻擊者利用攻擊合約獲得了超過143,200,000USDC用以發起攻擊。
③攻擊合約將這143,200,000個借得的USDC在USDC/DEI交易對池0x5821573中換為9,547,716個DEI,此舉導致DEI的價格被大幅提高。
④由于DeiLenderSolidex合約是用預言機來確定用戶抵押品的價值,而預言機合約使用被惡意操縱的交易對池的價格作為價格來源。因此通過提高的價格和之前提供的抵押,攻擊者可從借貸池中總計借貸到17,246,885DEI,這一數額遠大于之前攻擊者提供抵押的金額。
⑤攻擊者用9,547,716個DEI交換到的143,184,725USDC來償還閃電貸款,最終獲取差價離場。
漏洞分析
通過閃電貸,攻擊者能夠操縱交易對的狀態,并進一步操縱DEUS的預言機價格,以此利用不對等的價值借貸DEI。
資產去向
截至撰稿時,黑客已將攻擊所得轉到以太坊上并換成ETH,隨后將5,446個ETH存入TornadoCash。
https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history
寫在最后
預言機合約不應該直接使用交易對池中的價格作為價格來源,而安全審計可以有效地避免這一風險。
CertiK安全專家建議:如果只有代幣合約被審計,這種情況在審計過程中將會指出第三方依賴風險。項目應該避免直接從交易對池中獲取價格。建議根據項目的邏輯,使用更值得信任的預言機:
1.使用多個可靠的鏈上價格預言機來源,例如Chainlink和Band協議。
2.使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。因此如果攻擊者僅操縱一個區塊的價格并不會對平均價格產生太大的影響。
3.如果合約模式允許,將函數調用者限制在一個非合約/EOA地址。
4.閃電貸款只允許用戶在一次交易中進行借貸。如果合約用例允許,可強制關鍵交易至少跨越兩個區塊。
DAO行業進展雙周報第18卷——1月22日至2月5日 速覽: lDeepDAO.io:在DAO中投票或提議的人數現在超過50萬。lMaker的KYC/AML監管研究引起了對去中心化的擔憂.
1900/1/1 0:00:00我們最新研究的三個關鍵見解DAO的發展速度可能比歷史上任何行業都快。12個月前,DAO總共持有5億美元,現在擁有超過110億美元。這個空間充滿了新的用例,并吸引了來自各背景的建設者.
1900/1/1 0:00:00相關文章: Rust智能合約養成日記合約狀態數據定義與方法實現Rust智能合約養成日記編寫Rust智能合約單元測試Rust智能合約養成日記Rust智能合約部署.
1900/1/1 0:00:00區塊鏈生態已經從單純的鏈上通證發展成了一系列高級的去中心化應用,而這些應用的底層技術就是混合型智能合約.
1900/1/1 0:00:00北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00