以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > NEAR > Info

Formation.Fi 閃電貸安全事件分析_TOKEN:USD

Author:

Time:1900/1/1 0:00:00

前?

11月21日,知道創宇區塊鏈安全實驗室?監測到以太坊上的DeFi協議?Formation.Fi?遭遇黑客攻擊,損失近10萬美元。實驗室第一時間跟蹤本次事件并分析。

攻擊流程及形成漏洞成因分析

簡述攻擊流程

首先黑客通過合約0xd02C進行閃電貸借出啟動資金200USDT

向合約Vault質押100USDT獲得99FormationUSD?

以太坊日內漲幅達5.00%,現報1824美元/枚:金色財經報道,行情顯示,以太坊日內漲幅達5.00%,現報1824美元/枚。[2023/3/24 13:22:53]

通過Vault合約swapin函數置換100USDT并附帶大量fee

調用Vault合約函數withdraw銷毀99FormationUSD獲得漏洞利潤99999USDT

最后歸還閃電貸將獲利轉到黑客地址

Arbitrum已停用Arbitrum Rinkeby測試網:金色財經報道,以太坊Layer 2擴展解決方案Arbitrum已于北京時間今日3:00起停用Arbitrum Rinkeby測試網,已關閉Rinkeby區塊瀏覽器、公共RPC和排序器,并遷移到Arbitrum Goerli,對于新項目建議在Arbitrum Goerli上部署測試。[2022/12/21 21:57:51]

漏洞成因分析

Horizen Labs公布ApeCoin DAO質押系統界面:11月7日消息,負責創建ApeCoin DAO質押系統的Horizon Labs在其官方YouTube賬戶上公布了ApeCoin DAO質押系統用戶界面,并且向社區介紹了如何運作,包括 APE 持有者在 ApeStake.Io 網站上存款、領取獎勵和提取 APE Token 時發生的后端技術;用戶在與智能合約進行任何交互之前必須先同意預抵押合約才能訪問質押系統,然后質押系統界面頂部會列出的四個不同的質押池,并在頁面底部查看存款、領取獎勵和取款按鈕。[2022/11/8 12:29:41]

檢查源碼后發現具體問題主要出在Vault合約函數?swapIn?上,可以看到該函數調用參數?fee?能影響記錄著全部代幣的變量?totalTokens?的計算,fee越大totalTokens越大。

而在通過函數withdraw實際獲取利潤時,可以看到實際轉賬時totalTokens參與了計算,所以當大量的fee被帶人totalTokens計算后,會造成withdraw函數的轉賬超過原本的轉賬金額。

而造成攻擊獲利巨大的另個原因是FormationUSD與USDT的小數點數位不同,FormationUSD為18位,USDT為6位。小數點精準數位的差距在實際轉賬中進一步放大了黑客的收益。

Vault:

TetherToken:

重新梳理攻擊過程

第一步:選用USDT作為攻擊使用的代幣,目的USDT與FormationUSD的小數點精確度不同

第二步:黑客質押100USDT,目的為了后續調用withdraw函數實現套利

第三步:黑客兌換100USDT,目的添加大量的fee提升totalTokens的值

第四步:黑客取回質押的USDT,目的使用提升后totalTokens與利用代幣間小數點精確度不同來套取利潤

第五步:歸還閃電貸,轉移套取的利潤

總結

本次閃電貸安全事件發生的主要原因在于項目方設計函數?swapIn?時低估了fee對totalTokens的影響,且忽視了不同代幣間小數點精確度的影響。

知道創宇區塊鏈安全實驗室?再次提醒近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。

來源:金色財經

Tags:USDUSDTSDTTOKENXUSD幣泰達幣usdt能升值嗎usdt幣交易違法嗎UCE TOKEN

NEAR
RFOX VALT元宇宙將為其即將到來的遊戲設置新的拍賣商店_FOX:YFValue

今天,RFOX宣布即將推出RFOXVALT元宇宙的最新遊戲區:Arkamoto。這是一個受遊戲啟發的虛擬空間,並且對所有企業開放.

1900/1/1 0:00:00
墨初論幣:劇本何時演完?_SYN:KSY

2021年11月23日周二十月十九??? 簡文: 市場很消極,各位很焦慮。難得在這樣一個盤整階段清晰認識本次的低點。兩周前發行的U量基本被完全消化掉,匯率的上漲也代表接下來的穩定性.

1900/1/1 0:00:00
七彩研究院 Wicrypt—去中心化控制移動互聯網數據_CRYP:Crypto Legions V3

11月22日下午15:00,七彩研究院與Wicrypt以主題《Wicrypt—去中心化控制移動互聯網數據,實現快速高效連接世界》在七彩研究院直播間進行干貨分享.

1900/1/1 0:00:00
元宇宙培訓的風口已至,營業收入十天突破160萬_以太坊:元宇宙平臺公司合法嗎

近期的主流關注點基本都側重在”元宇宙“一詞,在之前的文章我們介紹過扎克伯克已將Facebook更名為Meta,日本社交平臺GREE已經開展元宇宙業務,微軟正努力打造“企業元宇宙”.

1900/1/1 0:00:00
波場TRON交易總數突破26億_TRO:tron

2021年11月19日,根據區塊鏈瀏覽器TRONSCAN最新數據顯示,波場TRON交易總數達到2,601,410,560,突破26億.

1900/1/1 0:00:00
一文了解MADworld:多元宇宙藝術家的“守護者”_NFT:world bridge coi

從物理現實到虛擬現實的AR、VR,再到元宇宙,世界不再只是物理的三維空間,而是由不同維度時空共同組成的Multiverse,即多元宇宙.

1900/1/1 0:00:00
ads