以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

不再安全的TWAP預言機?VesperFi Fianance被黑事件分析 -ODAILY_區塊鏈:我朋友做區塊鏈被捉了怎么辦

Author:

Time:1900/1/1 0:00:00

前言

11月3日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊,損失超300萬美元。

知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

攻擊流程簡析

攻擊分為兩部分:

第一部分:攻擊階段

交易哈希:0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻擊者向pool添加(VUSD對USDC為無窮大)的0.1USDC流動性

神馬楊作興不再擔任深圳比特微法人 吳鋼王純神魚等董事退出:神馬礦機所在的公司深圳比特微電子科技有限公司8月21-23日發生了人員調整,法定代表人從楊作興變更為陽金容,吳鋼、王純、神魚等6名董事退出。需要注意的是,法人不等于實際控制人,神馬礦機內地子公司的母公司為研極科技(香港)有限公司,預計實際控制人仍為創始人楊作興,董事會也以母公司為準。(吳說區塊鏈)[2020/8/24]

波場基金會:社區治理不能超越私有財產神圣性 呼吁和平解決問題撤回代碼且不再凍結資產:3月8日,波場基金會發文《“Steem接管”背后的真相》稱,TRON從來沒想過接管任何區塊鏈,且尊重權力下放和社區治理。但是社區治理不能超越私有財產的神圣性,而私有財產是區塊鏈和加密貨幣的基礎。當Steemit被收購,TRON期待與社區一起工作并交流意見,以此使得STEEM變得更強大。但不幸的是,一些見證人凍結了Steemit合法擁有的6500萬STEEM。對此,波場基金會表示,這些見證人不僅沒有權利這樣做,而且還打破了私有財產神圣不可侵犯的規則。如果出現分歧,應該彼此討論和交流或者通過選票競爭,但不能僅僅凍結資產。當我們控制網絡時,我們唯一要做的就是收回我們的資金。一旦100%確定基金和交易所資產是安全的,我們愿意將所有證人和控制權交還給社區。[2020/3/8]

聲音 | 美國橄欖球聯盟前球員:比特幣不再是金融焦點 但也不代表比特幣不會再次上漲:1月30日,美國橄欖球聯盟前球員Joe Theismann在接受采訪時表示,比特幣已經從公眾的視線中轉移出來了。,其不再是金融的主要焦點。但這并不是說比特幣不可能在某個時候再次上漲,但是我認為它已經達到了一定程度。同時,談到加密貨幣采用率問題,Joe Theismann稱,說服人們用加密貨幣,直到人們用買東西,這將是一個挑戰。(Cointelegraph)[2020/1/31]

2.攻擊者通過Swap用232kUSDC兌換走pool內正常的222kVUSD流動性

分析 | 幣安短期內不再會從二級市場回購BNB用于銷毀:幣安今日發公告稱,幣安團隊將放棄團隊BNB份額,并將其加入到BNB季度銷毀計劃中。對此,有分析稱,幣安短期內不會從二級市場回購 BNB 用于銷毀。(鏈聞)[2019/7/12]

第二部分:套利階段

交易哈希:0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通過Swap將222kVUSD兌換為2205MMfVUSD

2.將2205MM抵押置換成其他pool基礎代幣

攻擊原理分析

1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?

解決這個問題首先我們要知道UniswapV3使用的預言機為TWAP類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在TWAP獲取價格的時間周期中。

所以在黑客已經完成攻擊后,他并沒有基于兌換手中的VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段10塊高后。

攻擊交易哈希:

套利交易哈希:

2.至于添加流動性和兌換流動性得到解釋在UniswapV3中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。

因此添加過高的流動性可以讓TWAP發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓TWAP發現前一步驟以及套利。

總結

本次安全事件的主角雖然是\nVesperFiFianance,但是更讓人關心的是UniswapV3的TWAP預言機是否依然安全,可以觀察到并非TWAP\n預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許\npool內單個代幣不合理的流動性被設置。

知道創宇區塊鏈安全實驗室在此提醒,任何有關資金問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:USD區塊鏈STEEMSWAPEBUSD幣我朋友做區塊鏈被捉了怎么辦Steem DollarsWallet Swap

以太坊交易
AAX學院解讀Bored Ape Yacht Club-ODAILY_NFT:AAB

一只猴子到底值多少錢?如果它是來自BoredApesYachtClub的收藏品,那么它至少價值50ETH,在撰寫本文時相當于200,000美元.

1900/1/1 0:00:00
中國特色的NFT「數字藏品」 會成功嗎?-ODAILY_DOGE:DOG

吳說作者|ColinWu本期編輯|ColinWu近日,以騰訊、阿里巴巴為首的旗下NFT平臺,在接受相關監管部門溝通后,紛紛刪除了NFT相關字樣,改名為“數字藏品”.

1900/1/1 0:00:00
創宇區塊鏈安全實驗室 | Synapse 跨鏈橋攻擊事件分析-ODAILY_USD:BETA價格

前言 北京時間11月7日,知道創宇區塊鏈安全實驗室監測到跨鏈協議SynapseProtocol推出的資產跨鏈橋被攻擊,攻擊者設法降低了nUSDMetapool虛擬價格并從中獲利約800萬美元.

1900/1/1 0:00:00
五個顯示金融領域區價值的塊鏈用例-ODAILY_數字資產:區塊鏈存證平臺

金融業通過對區塊鏈技術進行大量投資以及擴大其使用范圍,繼續在區塊鏈應用方面處于領先地位。德勤2020年3月關于區塊鏈趨勢的報告顯示,38%的金融服務公司預計在未來一年內對區塊鏈技術投資500萬美.

1900/1/1 0:00:00
Umbrella Network 宣布 1500 萬美元的 Oracle 加速器計劃-ODAILY_ITH:UMB

太長;不讀 為將上鏈數據的公司引入Umbrella生態系統加速器1500萬美元用于資助、指導、支持和發展創新的加密和/或傳統公司,將數據上鏈并利用去中心化預言機現在滾動申請.

1900/1/1 0:00:00
爬坡理論:不要在錯誤的山峰停留-ODAILY_CRYPT:Newscrypto

我認識一個聰明的年輕孩子,一年前從大學畢業,現在在一家大型投資銀行工作。他開始發現他討厭待在華爾街,他想在一家科技創業公司工作.

1900/1/1 0:00:00
ads