以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > FTT > Info

一個小數點造成數百萬美元蒸發,Fantasm Finance攻擊事件分析-ODAILY_CER:bitkertoken

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

觀點:比特幣遠不是一個快速致富的計劃,它維護了財產權:在邁阿密Bitcoin2021大會上,由Robert Breedlove( Parallax Digital CEO )、Jimmy Song(開發者)和Guy Hirsch(eToro董事)組成的小組的圓桌會議的核心內容可以概括為:比特幣的成功是一種道德上的需要。

“比特幣遠不是一個快速致富的計劃,它維護了財產權。”

作為哲學上的證明,這個由開發者和首席執行官組成的小組引用了自由主義哲學的一個分支,強調 \"自我所有權\"。根據這一邏輯,你的身體是你的財產;從它延伸出來的一切,包括你的比特幣,都屬于這一產權。

比特幣開發者Jimmy Song表示,目前的貨幣系統是非常不道德的。它是盜竊、腐敗和裙帶關系的糞坑。 “美元是世界的儲備貨幣。每次美聯儲印制美元,他們都在從擁有美元的每個人那里偷竊,美國正在偷竊世界上最脆弱一群人。”

投資公司Parallax Digital的首席執行官Robert Breedlove同樣認為,世界上最重要的游戲,也就是金錢,是腐敗的。這個游戲的規則被扭曲,有利于少數人而不利于數百萬人。通貨膨脹的法定貨幣隨著時間的推移從其持有者身上減去價值,這是一種財產盜竊的形式。他認為,“比特幣作為我們有史以來第一個人造的廉潔的貨幣和社會機構,有可能是人類歷史上最重要的發明。”

eToro的美國董事Guy Hirsch則表示,“法幣和現行制度的核心是一種有罪推定,比特幣是金錢,但它也是一種意識形態運動。” (Decrypt)[2021/6/7 23:18:31]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

聲音 | 分析師:恐慌與貪婪指數處于2018年12月的低點,BTC下一個關鍵水平低于10300-10325美元:經濟學家、加密分析師Alex Krüger剛剛發推表示,你害怕嗎?我沒有。恐慌與貪婪指數目前處于2018年12月的低點,比特幣下一個關鍵水平是低于10300-10325美元。 注:據Alternative.me數據顯示,今日恐慌與貪婪指數為11(昨日為45),等級從恐慌轉為極度恐慌。恐慌指數閾值為0-100,包含指標:波動性(25%)+市場交易量(25%)+社交媒體熱度(15%)+市場調查(15%)+比特幣在整個市場中的比例(10%)+谷歌熱詞分析(10%)[2019/8/14]

攻擊步驟

聲音 | 歐洲央行首席經濟學家:對于加密貨幣而言,滿足對于貨幣的定義是一個非常大的障礙:據金十消息,歐洲央行首席經濟學家連恩表示,對于加密貨幣而言,滿足對于貨幣的定義是一個非常大的障礙。[2019/7/10]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。

④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。

比特幣轉折點:牛市觸頂前一個月的價位:華爾街知名策略機構Fundstrat在4月13日報告中指出一個比特幣值得關注的價位——觸頂前一個月的價格水平。回顧2014年比特幣牛熊轉換行情,發現價格觸頂前的一個月貢獻了比特幣90%的漲幅,而隨后的熊市是跌倒了觸頂前一個月的價格水平后止跌反轉,2017年的牛市行情最后一個月時間貢獻了比特幣70%的漲幅,而比特幣在今年的2月6號事實上一度已經跌倒了5600區間,區別在于2014年跌倒這一水平,用了405天,而今年只用了52天。[2018/4/16]

漏洞分析

在函數calcMint中,合約使用以下公式來計算鑄幣量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。

資金去向

攻擊者可因此獲取大約1000個ETH,所有的資金均被轉移至Etherscan并被發送到tornadoproxy。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

參考鏈接:

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags:比特幣ERTCERHTT比特幣價格今日行情走勢bitkertokensorceressprotocolhtt幣價格今日行情

FTT
Bitfinex周報(0321-0327)-ODAILY_FINE:bybit官網頁面

薩爾瓦多總統:比特幣火山債券將通過Bitfinex發行據路透社報道,薩爾瓦多正在尋求加密貨幣交易平臺Binance的支持,以完善比特幣作為法定貨幣并發行比特幣債券.

1900/1/1 0:00:00
Minterest LBP通證活動完結以及下一步計劃-ODAILY_TER:INTER

Minterest協議最近在Copper完成了一項價值552萬美元的LBP通證活動。雖然該活動主要是為大額投資者設計的,但也有許多小額投資者參加.

1900/1/1 0:00:00
波場去中心化算法穩定幣USDD挖礦指南-ODAILY_USDD:RON

波場去中心化算法穩定幣USDD于今日正式上線,波場TRON正式開啟穩定幣3.0時代。 USDD是波場DAO聯合區塊鏈行業的主流機構推出的去中心化算法穩定幣,以數學與算法實現人類的金融自由,不依賴.

1900/1/1 0:00:00
詳解Web3基礎設施Pocket Network-ODAILY_OKT:KET

2022年EthDenver上,協議專家DanielOlshansky就Pocketnetwork進行了演講,同時他們為那些與Pocket集成的最佳項目分發多個獎品來支持生態系統的發展.

1900/1/1 0:00:00
GMT何時跌落神壇?暴富VS暴負-ODAILY_GMT:STEP

各位看眾,當你看到這個標題的時候,作為加密眼界實習生的我已經爆倉了,空不動了。 Stepn作為一款跑步游戲,產品的強大社交屬性,很容易裂變,短短幾天內風行幣圈,數以億計的資金不斷融進市場,看好的.

1900/1/1 0:00:00
Chainlink發布Startup with Chainlink計劃-ODAILY_CHA:blockchainBusiness官網

Chainlink是Web3生態中至關重要的基礎設施,為整個智能合約生態提供了所需的鏈下服務,包括安全的喂價、可驗證的隨機數以及信任最小化的智能合約自動化服務.

1900/1/1 0:00:00
ads