安全实验室监测到以太坊上feiprotocol和RariCapital协议中的多个池子遭到重入攻击,导致损失超8000万美元。
知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
基础信息
众所周知,compound项目的代码本就存在一些安全问题,而feiprotocol和RariCapital协议延用了compound的代码库,同时在doTransferOut()方法的实现中使用了存在重入的写法,导致了事件的发生。
太壹科技CMO孟春东:随着ETH2.0的到来,以太坊上的拥堵问题会得到一定程度的缓解:据官方渠道消息,太壹科技CMO孟春东确认参加9月29日举行的“POW’ER DEFI创新者大会,并作为受邀嘉宾参与炉火对话“波卡DeFi能否撼动以太坊DeFi”话题讨论。
?针对DeFi话题,孟春东会前表示:随着ETH2.0的到来,以太坊上的拥堵问题会得到一定程度的缓解,由于其固有的生态优势,这会进一步巩固其优势。同时看到波卡上已有十多个DeFi项目,整体生态项目大约200多个,已经初步完成生态的基础构建。那么,未来有可能形成以以太坊为中心的多链共存的DeFi生态局面。[2020/9/27]
因此次事件中的多次攻击方式相同,本文仅对一次攻击进行分析。
报告:随着Tether发行速度放缓,BTC价格或将下跌:6月24日消息,Coinmetrics在最新报告中指出,稳定币Tether(USDT)的发行量与比特币价格之间存在正相关性,随着USDT发行速度放缓,未来比特币的价格可能会趋于下跌。(JP.Cointelegraph)[2020/6/24]
攻击者地址:0x6162759edad730152f0df8115c698a42e666157f
分析 | BTC的PoW共识模型只会降低成本 其能源消耗问题会随着时间推移而改善:据Be In Crypto消息,数据分析公司Coin Metrics数据显示,10年的比特币挖矿所产生的能耗与美国所有汽车3到4天内产生的能源消耗相当。Coin Metrics分析师Antoine Le Calvez表示,根据蚂蚁矿机S9计算的哈希值,比特币消耗了1.75 e17焦耳,相当于420万吨石油。而美国汽车每天就要消耗130万吨石油。此外,与全球银行业的用电量相比,比特币的用电量实际上相当不错。分析师Carlos Domingo称,就私人银行而言,保守估计,它们每年的用度约为100 TW,这还不包括央行,后者的用度更高。鉴于比特币目前每年的使用量约为40至50 TW,很明显全球银行体系的能源消耗要多得多。 另外还需注意,与大多数银行业不同,比特币的大部分能源消费是可再生能源。巧合的是,10年比特币挖矿所用的1.75×10^17焦耳(假设以S9矿工为基准)相当于现在地球上1秒的太阳能。比特币的工作量证明(PoW)共识模型只会降低成本,因为技术创新会使算法破解变得最为节能,因此比特币的能源消耗问题只会随着时间的推移而改善。[2019/4/14]
攻击合约:0x32075bad9050d4767018084f0cb87b3182d36c45
tx:0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6
CEtherDelegator合约:0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C
其次,合约在对用户进行借贷放款时,并未实行检查-生效-交互的模式,更新抵押资产价值在放款之后,使得攻击者能够在借款之后进行函数回调;
最为关键的一点是,攻击者在借款后调用了exitMarket()函数退出借款的市场,之后对抵押品进行赎回,由于此时攻击者已退出市场,因而协议不会计算这笔借款,所以能够成功赎回抵押品。
ETH,随后触发重入;
3、调用exitMarket()函数退出借款的市场,并取出抵押品;
4、归还闪电贷;
5、成功赖账套利,免费借出ETH;
6、最后,攻击者重复攻击手法对协议中的池子进行攻击,成功套利约8000万美元。
总结
本次攻击事件核心是协议引用了存在重入漏洞的compound代码库,导致合约发生重入攻击。
建议项目方在编写项目时,应始终使用检查-生效-交互的模式,并在合约中应用重入锁,在发送以太币时一定要限制gas或者使用thransfer(),一定不要使用存在安全问题的项目代码。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。