首發 | 一個小數點造成數百萬美元蒸發 Fantasm Finance攻擊事件分析_區塊鏈:CER

北京時間2022年3月9日21:50，CertiK安全專家團隊檢測到Fantasm Finance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣，并將其交易為ETH，總損失約為1000ETH（價值約270萬美元）。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息，近日，由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲，游戲美術采用全3D 制作。用戶可通過 CocosWallet ， DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前，Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游，游戲公鏈生態在逐步壯大和完善。[2020/8/20]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

②在第一個tx中，攻擊者將Fantom代幣(FTM)換成FSM代幣，并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

③攻擊者調用collect()函數，以此鑄造了超出權限更多的XFTM代幣。

④攻擊者多次重復步驟②和③，造成Fantasm Finance巨額損失。

在函數calcMint中，合約使用以下公式來計算鑄幣量：

_xftmOut = (_fantasmIn * _fantasmPrice * COLLATERAL_RATIO_MAX * (PRECISION - mintingFee)) / PRECISION / (COLLATERAL_RATIO_MAX - collateralRatio) / PRICE_PRECISION。

由于小數點錯誤，導致_xftmOut最終的值遠遠大于代碼的設計初衷。

攻擊者可因此獲取大約1000個ETH，所有的資金均被轉移至Etherscan（地址為0x47091e015b294b935babda2d28ad44e3ab07ae8d）并被發送到tornado proxy。

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計，這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞，往往會認為漏洞必然是很復雜的，其實并非總是如此。有時一個小小的計算錯誤，就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特[https://twitter.com/CertiKAlert]進行了播報。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

參考鏈接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2. https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3. https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4. https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5. https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6. https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7. https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags：區塊鏈CERTPSHTT工業區塊鏈Blocerytps幣圈CHTT幣

XLM