前言
北京时间2022年6月16日,知道创宇区块链安全实验室?监测到以太坊链上借贷项目InverseFinance因预言机设计问题被攻击,损失约77BTC。
知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
基础信息
被攻击预言机合约:0xe8b3bc58774857732c6c1147bfc9b9e5fb6f427c
攻击者地址:0x7b792e49f640676b3706d666075e903b3a4deec6
英国数字银行Monzo:正在考虑收购北欧竞争对手Lunar:金色财经报道,英国数字银行Monzo表示正在考虑收购北欧竞争对手Lunar。[2023/7/12 10:50:45]
攻击合约:0xf508c58ce37ce40a40997c715075172691f92e2d
tx:0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c
漏洞分析
与大部分预言机事件一样,项目方由于在预言机实现过程中过度依赖某一池子内的价格进行定价。导致攻击者可操控该分布式池子的代币比例导致价格控制进而攻击协议。
本次事件中,攻击者利用了项目方如下的价格预言机代码:
MicroStrategy联合创始人将比特币闪电网络地址集成到他的公司邮箱:金色财经报道,MicroStrategy联合创始人兼执行主席Michael Saylor宣布将比特币闪电网络地址集成到他的公司邮箱地址,这意味着任何人都可以使用该电子邮箱 - saylor@microstrategy.com - 将比特币 ( BTC ) 发送给这位 58 岁的亿万富翁。该集成使用Lightning Address协议,该协议允许开发人员将标准的 Lightning 发票或付款请求替换为电子邮件地址等互联网标识符。闪电网络是比特币的第 2 层扩展解决方案,旨在使比特币支付更便宜、更快捷。在发布有关集成的推文后,他一直在收到粉丝的小额比特币捐赠。(Coindesk)[2023/4/18 14:09:47]
该喂价函数将Crv3池内BTC/ETH/USDT池内代币余额作为价格源的一部分,导致在攻击者在CRV3CRYPTO池子中利用大量BTC换取了USDT后产生了巨大的价格拉升。
香港虚拟资产管理公司Artifact Labs将推出泰坦尼克号NFT和“Titanic DAO”:2月22日消息,香港证监会批准的虚拟资产管理公司Artifact Labs宣布与皇家邮轮泰坦尼克号公司的法律事务子公司RMS泰坦尼克公司(RMS Titanic,Inc.)达成合作,将基于泰坦尼克号回收的大约5,500件实物文物推出NFT系列,此外Artifact Labs 还将推出“泰坦尼克号DAO”,通过社区治理管理未来泰坦尼克号遗址潜水探险、教育计划开发、数字内容和纪录片、研究计划的提案。
Artifact Labs是一个多链NFT生态系统,由《南华早报》剥离了其基于区块链的NFT业务而成立,主要帮助将包括学校和博物馆在内的组织将财产变成数字藏品。[2023/2/22 12:22:13]
攻击流程
1.攻击者首先利用闪电贷从AAVE中借来了27000个WBTC,随后将225个存入了Curve,协议为其铸造相应的质押凭据;
美国第二大电力公司杜克能源正在研究比特币挖矿:7月4日消息,美国第二大电力公司杜克能源(Duke Energy)正在探索比特币挖矿。据报道,该公司正计划将挖矿活动整合为其需求响应战略的一部分。
近日,杜克能源公司的监管策略分析师Justin Orkney在Troy Cross的比特币、能源和环境播客上发表讲话时证实了这一消息。Orkney表示,该公司正在对比特币挖矿进行持续研究,在公司开始向客户部署挖矿功能之前,这些举措是决定如何让矿工开始在电网上工作的一部分。
Orkney在播客上说,公司将把几种能源整合到微电网中,并在不同级别的矿工中进行测试,然后再发布关于挖矿的最终报告。该公司已经制定了一份需求响应报告,最初专注于比特币,并已经为几家比特币矿工提供了一个小型系统。(Watcher News)[2022/7/4 1:49:08]
美联储7月加息75个基点的概率为93.9%:6月28日消息,据CME“美联储观察”:美联储到7月份加息50个基点的概率为6.1%,加息75个基点的概率为93.9%;到9月份累计加息50、75个基点的概率均为0%,累计加息100个基点的概率为4.1%,累计加息125个基点的概率为65.8%,累计加息150个基点的概率为30%。(金十)[2022/6/28 1:35:10]
2.利用crv3crypto存入yvCurve-3Crypto,协议为其铸造相应凭据anYvCrv3Crypto;
3.利用余下的WBTC来进行兑换,进而控制latestAnswer中获取的Curve池子中的余额比例。(使用26,775WBTC交换获得了75403376USDT);
在第三步兑换前预言机latestAnswer返回为979*1e18;
在价格操控后latestAnswer返回为2831*1e18;
4.于是攻击者得以使用抵押物借出10,133,949个DOLA,而原本225个BTC价值466W美元;
5.然后则是利用USDT换回WBTC、交换DOLA为3Crv;
6.移除3Crv流动性换取稳定币USDT;
7.交换为BTC并归还闪电贷。
总结
预言机合约中错误的使用了balanceOf导致攻击者可操控数据源导致被攻击,这样的攻击方式在之前已出现过多次如Definer预言机攻击事件,项目方在开发过程中不应忽视安全性考量,在上线前建议做好审计工作。
来源:金色财经
6月19日,Solana生态借贷协议Solend创始人Rooter在社交媒体上发文称,某巨鲸在Solend上拥有价值1.7亿美元的SOL存款和价值1.08亿美元的Stablecoin债务头寸.
1900/1/1 0:00:006月17日晚Drive2盲盒盛大发售,这个带着神秘面纱元宇宙生态终于开始和全球用户见面,一时间市场上掀起了不少对X2E模式的探讨,本来以为X2E即将要归于沉寂的资本市场和玩家们又开始热闹起来.
1900/1/1 0:00:00本月是以太连续下跌的第三个月,还有一周就要收月线了,本月以太能收到哪里呢,参考下去年,去年6月以太开盘从2900跌到最低1700,刚好1200点,月底收盘价2275月终收线反弹了575点.
1900/1/1 0:00:00近日,界面新闻记者独家获悉,国美已将元宇宙定为最重要的战略方向,元宇宙项目总负责人已于6月入职,正积极招揽人才。一位知情人士对界面新闻记者表示,该元宇宙项目或将于7月初部分上线.
1900/1/1 0:00:00牛市中,公司收购是为了加快增长;然而在熊市中,公司收购是为重整其业务,从而更好地经受住时代的考验.
1900/1/1 0:00:00自今天抛售前的周末以来,SHIB的价值上涨了近48%。ShibaInu的本地SHIB代币在过去一周上涨了近一半,因为加密市场投资者在专业人士的短暂反弹中表现出非理性的繁荣.
1900/1/1 0:00:00