北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?
分析:三个因素导致比特币在一个月内首次跌破1.1万美元:Coindesk发文称,三个因素导致比特币在一个月以来首次跌破11000美元。首先是比特币与传统市场同步下滑。其二,加密交易者已经摆脱了最近对去中心化金融(DeFi)的投机狂热,这种狂热大部分发生在以太坊上,而以太坊价格曾于周四大跌8.3%。其三,矿工们出售了部分比特币,此前报告显示,比特币向交易所钱包的转移有所增加,这通常被视为卖出压力加大的前兆。[2020/9/4]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
富国银行:金价和加密货币大涨可能表明一个虽小但正在扩大的群体正在质疑全球货币体系:富国银行表示,黄金已经连续三年表现亮眼,本年度走势尤为强劲,今年以来金价已上涨了约35%,主要驱动因素可以归结为,长期实际利率偏低、全球印钞过度和美元走软。我行认为,被忽视的关键原因是信任。从足够长的时间来看,没有任何货币能够经受住时间的考验,而黄金在历史上是值得信赖的价值储存手段。当前的货币体系正在发挥作用,而且很大程度上备受信任,金价和加密货币大涨可能表明一个虽小但正在扩大的群体正在质疑全球货币体系。历史的教训是,货币只值别人愿意为之交换的东西。如果市场不认为其有价值,曾经所谓的钱就会一文不值。约100年前,西方世界选择了信任政府和机构,放弃了黄金作为货币的地位。[2020/8/26]
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
声音 | 比特币安全专家:以太坊不够保守所以不会成为下一个比特币:据AMBcrypto 12月8日消息,比特币安全专家Andreas Antonopoulos表示,除了ETC外,大多数以太坊硬分叉都有“非常、非常高的共识”,以致没有人试图继续一个传统的链。他还表示,他不认为以太坊会成为下一个比特币,因为它们专注于完全不同的应用领域和用例,而以太坊必须变得保守得多,才能发挥同样的应用功能。[2019/12/8]
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
在函数calcMint中,合约使用以下公式来计算铸币量:
金色财经现场报道 全球区块链投资论坛发起人张迅诚:区块链投资是一个创新的时代,创新的技术和团队才能在行业中找到机会:金色财经现场报道,在2018全球区块链精英峰会上,全球区块链投资论坛发起人、中国天使投资人学院创始合伙人张迅诚发表了《区块链投资的全球化布局》的演讲。目前,在整个区块链投资领域中,矿场和交易所是最热的投资领域,目前,很多传统金融机构,包括主流互联网机构,都在积极入局。在未来的1-2个月之内,我们会看的越来越清晰。区块链投资是一个创新的时代,创新的技术和团队才能在行业中找到机会,在区块链行业中,很多都是年轻的群体,这些人可能并不了解技术,但他们对行业把握的很准。很多的专家和大佬对行业进行分享的过程中,他们可能在几年前就布局了该产业,真正的趋势是在别人还没有看见趋势的时候,就进行布局。[2018/4/28]
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。