?北京时间2022年4月28日10:40:14,CertiK审计团队监测到DEUSFinance的合约被恶意攻击,造成了约1570万美元的损失。
攻击者恶意操纵DEI的价格,从DeiLenderSolidex合约中通过提供少量的抵押品提取了大量的DEI。
漏洞交易
https://ftmscan.com/tx/0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
数据:目前已有14,041地址领取了ARKM空投:金色财经报道,据余烬监测,目前已有14,041地址领取了ARKM空投,领取数量为11,502,341,平均每个地址819枚。目前14,041已领取ARKM空投的地址中,空投数量超过1万枚的地址有125个。[2023/7/18 11:02:31]
攻击步骤
①攻击者部署攻击合约并向借贷池DeiLenderSolidex合约提供抵押。②随后攻击者利用攻击合约获得了超过143,200,000USDC用以发起攻击。
英国央行和财政部咨询文件:个人数字英镑持有量应限制在1万至2万英镑之间:2月8日消息,英格兰银行副行长Jon Cunliffe在周二的演讲中表示,大多数加密货币都具有“高度投机性”并且“没有内在价值”,尽管加密货币背后的某些技术可能有助于开发数字英镑,但该银行尚未决定数字英镑是否会使用分布式账本技术。“在人们的脑海中,数字英镑可能与比特币等加密资产相混淆。我应该借此机会纠正这种误解,事实并非如此。”
英格兰银行与英国财政部于周二就中央银行数字货币计划征求公众意见,咨询文件提出将个人持有数字货币的上限限制在10,000英镑至20,000英镑之间的计划。(CoinDesk)[2023/2/8 11:54:09]
③攻击合约将这143,200,000个借得的USDC在USDC/DEI交易对池0x5821573中换为9,547,716个DEI,此举导致DEI的价格被大幅提高。
Celsius索赔人在法律策略上再次产生分歧,扣留账户储户联合聘请律师以寻求索赔:8月23日消息,据外媒报道,加密借贷平台Celsius在法律策略上再次产生分歧,因为Celsius的破产变得越来越混乱和棘手,部分索赔人计划在破产听证会上成立一个特设小组,并聘请Troutman Pepper的合伙人Deborah Kovsky-Apap为法律代表,从而收回他们的资产。
所谓的“扣留账户”小组是由美国一些州的客户组成的,由于监管机构的停止令,Celsius无法为他们提供可用的托管账户。 这些人可以选择将资金转移到扣留账户,而这些资金仍被冻结。数据显示,在Celsius停止提款时,其管理的大约120亿美元资产中,扣留账户仅占1450万美元。
此前8月2日消息,Celsius托管客户联合聘请律师委托其向Celsius索赔1.8亿美元。(CoinDesk)[2022/8/23 12:42:55]
④由于DeiLenderSolidex合约是用预言机来确定用户抵押品的价值,而预言机合约使用被恶意操纵的交易对池的价格作为价格来源。因此通过提高的价格和之前提供的抵押,攻击者可从借贷池中总计借贷到17,246,885DEI,这一数额远大于之前攻击者提供抵押的金额。
⑤攻击者用9,547,716个DEI交换到的143,184,725USDC来偿还闪电贷款,最终获取差价离场。
漏洞分析
通过闪电贷,攻击者能够操纵交易对的状态,并进一步操纵DEUS的预言机价格,以此利用不对等的价值借贷DEI。
资产去向
截至撰稿时,黑客已将攻击所得转到以太坊上并换成ETH,随后将5,446个ETH存入TornadoCash。https://debank.com/profile/0x701428525cbac59dae7af833f19d9c3aaa2a37cb/history?
写在最后
预言机合约不应该直接使用交易对池中的价格作为价格来源,而安全审计可以有效地避免这一风险。CertiK安全专家建议:如果只有代币合约被审计,这种情况在审计过程中将会指出第三方依赖风险。项目应该避免直接从交易对池中获取价格。建议根据项目的逻辑,使用更值得信任的预言机:1.使用多个可靠的链上价格预言机来源,例如Chainlink和Band协议。
2.使用时间加权平均价格。TWAP代表了一个代币在特定时间范围内的平均价格。因此如果攻击者仅操纵一个区块的价格并不会对平均价格产生太大的影响。
3.如果合约模式允许,将函数调用者限制在一个非合约/EOA地址。??
4.闪电贷款只允许用户在一次交易中进行借贷。如果合约用例允许,可强制关键交易至少跨越两个区块。?
记者陈曦Web3.0最特别的就是,用户所创造的数字内容,所有权和控制权都归属于用户,用户所创造的价值可以由用户自主选择与他人签订协议进行分配.
1900/1/1 0:00:002021年对于去中心化应用程序(dApps),区块链行业乃至web3行业生态来说都是意义非凡的一年。我们生活逐渐数字化,这也促使dApps能够壮大社区力量、吸引活跃用户和带来更高收益.
1900/1/1 0:00:00文:HELENPARTZ编译:Zion??????根据一份新报告,去年加密货币持有者的数量大幅增加,全球近一半的持有者在2021年首次购买加密货币.
1900/1/1 0:00:00原标题:元宇宙初形态:游戏、UGC、IP以及经济系统元宇宙是现实世界的虚拟世界,需要对内容生产、经济系统、用户体验以及实体世界内容等进行大量改造.
1900/1/1 0:00:00小时候,超级喜欢去街机厅,尽管大多数时候还是看别人玩。我特别羡慕那种能在机台前一坐就是一下午的玩家,他们中有的人技术很好,一命就能熟练操作诸葛亮拿齐4把剑,通关过程很余裕,有的人家里钱多,明明《.
1900/1/1 0:00:00去中心化的自治组织旨在削弱中心化的权威和控制。DAO由社区共同治理,采用智能合约为组织制定具体的规章制度。简而言之,DAO为社群集体决策提供了一个透明和去中心化的模式.
1900/1/1 0:00:00
木星链