据慢雾区消息,2020年11月15日,ValueDeFi的ValueDeFiMultiStables保险库遭遇闪电贷攻击,慢雾安全团队于第一时间跟进并进行相关分析,以简要的形式呈现给大家,供大家参考。
1.攻击者首先从Aave中借出80000个ETH,为攻击做准备;
2.攻击者使用80000个ETH在UniswapWETH/DAI池中用闪电贷借出大量的DAI和在UniswapWETH/DAI兑换出大量的USDT;
美联储对与FTX有关联的法明顿州立银行采取执法行动:金色财经报道,根据周四的执法行动,美联储已下令与FTX相关的法明顿州立银行停止其业务,因为这家小型银行秘密从事数字资产相关活动。美联储委员会称,委员会的行动确保(法明顿州立)银行以保护储户和存款保险基金的方式结束业务。
文件称,Farmington(法明顿州立)以Moonstone Bank名义运营,在未通知监管机构并获得其批准的情况下,“不当”转向支持数字资产的业务计划。美联储和华盛顿州金融机构部的联合执法行动禁止这家位于华盛顿州的银行在未经监管机构许可的情况下“发放股息或资本分配、消耗现金资产以及从事某些活动”。[2023/8/18 18:07:06]
3.用户调用ValueMultiVaultBank合约的deposit合约使用第2步中小部分的DAI进行充值,ValueMultiVaultBank合约中一共有3种资产,分别是3CRV、bCRV、和cCRV。ValueMultiVaultBank??合约在铸币的时候会将合约中的bCRV,cCRV转换成以3CRV进行计价,转化的途径为bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的价格。转换完成后,ValueDefi合约根据合约中总的3CRV的价值和攻击者充值的DAI数量计算mVUSD铸币的数量;
FSA:加密资产交易合法化是荒谬的:金色财经报道,丹麦金融监管局(FSA)要求投资银行盛宝处置其持有的加密货币。与此同时,FSA声明引用了丹麦《金融商业法》第24条,其中规定盛宝银行的加密货币活动“不属于金融机构的合法业务范围”。根据声明,FSA认为,加密资产交易合法化是荒谬的,因为这可能会导致投资者对金融体系的不信任。此外,英国金融服务管理局还排除了任何丹麦金融机构参与加密货币交易的可能性,直到此事更加明确为止,并表示,盛宝银行为其自己的账户进行加密资产交易是为了对冲与提供其他金融产品相关的风险。然而,这并没有改变丹麦金融机构不允许该活动本身的事实。[2023/7/7 22:22:26]
4.攻击者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兑换USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的价格
比特币挖矿难度已下调0.20%至36.76 T:11月7日消息,BTC.com数据显示,比特币挖矿难度于今日08:32(区块高度762048)迎来挖矿难度调整,挖矿难度下调0.20%至36.76 T。目前比特币未确认交易量为2019笔。全网算力为269.32 EH/s,24小时交易速度2.64交易/s。[2022/11/7 12:27:02]
5.攻击者在ValueMultiVaultBank??合约中发起3CRV提现,此时ValueMultiVaultBank??合约和第3步一样,会先将合约中的bCRV,cCRV转换成以3CRV计价,由于在第4步中,USDC/3CRV的价格已经被拉高,导致换算的过程中,ValueMultiVaultBank??合约中的bCRV,cCRV能换算成更多的3CRV,也就是说使用同等份额的mVUSD可以换取更多的3CRV;
6.拿到3CRV后,攻击者到Curve的DAI/USDC/USDT池中使用3CRV换回DAI,并在Uniswap中兑换回ETH,然后归还Aave的闪电贷。
总结:由于ValueDefi合约在铸币过程中将合约资产转换成3CRV时依赖CurveDAI/USDC/USDT池中USDC/3CRV的价格,导致攻击者可以通过操控CurveDAI/USDC/USDT池中USDC/3CRV的价格来操控mVUSD/3CRV的价值,从而获利。
相关链接:
(1)分析样本:
https://etherscan.io/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。