TPS:首发 | 一个小数点造成数百万美元蒸发 Fantasm Finance攻击事件分析_HTT

北京时间2022年3月9日21:50,CertiK安全专家团队检测到Fantasm Finance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH(价值约270万美元)。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告,4月9日16:50,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日16:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT空投奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯,日前,比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称,新品将采用新一代散热技术及全局优化定制方案。据了解,该散热技术可能是指芯片的封装技术,也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价,这或许是为决战丰水期做出的准备。[2019/3/22]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

首发 | 百度推动246家博物馆线上藏品上链:金色财经讯,近日,百度超级链联合百度百科,基于区块链技术创建 “文博艺术链”,推动百科博物馆计划中的246家博物馆线上藏品上链。基于“文博艺术链”,百度将与博物馆共同推动线上藏品版权的确权与维护,同时探索线上藏品版权数字化交易方式,为合作的博物馆提供更全面的服务和更多的权益。据介绍,此项目将分阶段进行,一期将完成线上藏品的入链确权,为每一件藏品生产专属的版权存证证书。让每一名用户可以在百度百科博物馆计划的PC端和WAP端的藏品页查看证书。后续,百度还将推动AI与区块链技术在文博领域的结合应用,用来保障上链数据与藏品相匹配,为后续进行藏品图像版权数字化交易奠定基础。[2019/1/30]

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③,造成Fantasm Finance巨额损失。

在函数calcMint中,合约使用以下公式来计算铸币量:

_xftmOut = (_fantasmIn * _fantasmPrice * COLLATERAL_RATIO_MAX * (PRECISION - mintingFee)) / PRECISION / (COLLATERAL_RATIO_MAX - collateralRatio) / PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan(地址为0x47091e015b294b935babda2d28ad44e3ab07ae8d)并被发送到tornado proxy。

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特【https://twitter.com/CertiKAlert】进行了播报。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2. https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3. https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4. https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5. https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6. https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7. https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-8:364ms