SDC:又现套利攻击：Goldfinch项目的SeniorPool合约遭受攻击事件分析

又现套利攻击！—Goldfinch项目的SeniorPool合约遭受攻击事件分析

2022-06-2816:55:30

2022年6月28日，成都链安链必应-区块链安全态势感知平台舆情监测显示，Goldfinch项目的SeniorPool合约遭受攻击，攻击者累计获利金额为28,523个USDC，项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析，现与大家分享。

以太坊Sepolia测试网已激活Shapella升级:金色财经报道，EIP-4895发起者Alex Stokes在推特上表示，以太坊Sepolia测试网已激活Shapella升级，到目前为止看起来进展顺利。

此前开发人员表示，之后在Sepolia测试网升级后，计划在2月底或3月初在以太坊Goerli测试网上发布上海升级，过渡成功后，将转向主网。[2023/2/28 12:33:56]

#攻击过程

攻击交易地址：

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

天津市统计局：区块链在天津市企业中的使用比例5.3%:金色财经报道，天津市统计局社情民意调查中心近期组织开展了数字化天津调查，目前5G网络在天津市企业中的使用最为广泛，占比为61.7%；其次是物联网，占比为30.7%。其他信息技术包括人工智能（18.6%）、大数据分析与挖掘（17.4%）、云计算（12.6%）、区块链（5.3%）、虚拟现实/VR（3.6%）等应用的范围较小。[2023/2/12 12:01:36]

攻击者地址：

0x86c595d81c8ab46d893065c3c674da72555fe7c0

Reddit正在与NFL合作推出第五十七届超级碗Avatar:2月7日消息，Reddit 宣布正在与美国国家橄榄球联盟（NFL）合作推出第五十七届超级碗 Avatar，将向用户免费推出。据悉，第五十七届超级碗（Super Bowl LVII）将于 2023 年2月12日在亚利桑那州格伦代尔的州立农场体育场举行。[2023/2/7 11:52:50]

攻击者合约：

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻击存在多笔，我们选取了具体的一笔攻击交易进行分析：

Raoul Pal：看起来CeFi将加密货币借贷风险推给零售投资者的商业模式已经基本结束:金色财经报道，前高盛高管Raoul Pal在社交媒体上称，看起来CeFi将加密货币借贷风险推给零售投资者的商业模式已经基本结束。今后必须是DeFi和批发贷款市场，拥有更大的传统资产负债表和规范的更好的传统风险管理。[2022/11/17 13:17:03]

1.?第一步：攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。

2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。

3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数，把106,667个FIDU代币兑换成113,853个USDC，然后归还闪电贷110,011个USDC，剩余本次攻击获利的3,842个USDC。

漏洞原因为：攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币，来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07，这就产生了套利空间。

图1?Curve中FIDU兑换USDC的比例

图2?SeniorPool合约中FIDU兑换USDC的比例

下面是具体的代码实现：

攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加，攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币，从而获取SeniorPool合约抵押FIDU代币的红利。

总结

针对本次事件，成都链安安全团队建议：

项目方使用新的代币代替FIDU代币为凭据代币，并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计，规避安全风险。

来源：金色财经

标签：SDCUSDUSDCFIDSDC价格usd币汇率usdc币是什么意思YFID价格

火必下载热门资讯