CER:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析-ODAILY

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

外媒：葡萄牙正迅速成为下一个欧洲区块链中心:The Block发文称，在金融危机后，葡萄牙对外国居民实施了优惠的税收政策。随着最近有关加密货币的澄清，该国正逐渐发展成为理想的工作和生活方式中心。The Block表示，葡萄牙可能会成为下一个欧洲区块链中心。[2020/10/20]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

攻击步骤

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

火币中国袁煜明：BSN是一个开发的生态和平台:9月2日晚，火币中国CEO袁煜明受邀参与“区块链国家队BSN是如何运作的？”直播活动，并就BSN运作的相关话题进行了分享。

袁煜明表示，火币中国是BSN的首批联盟成员之一，很早就启动了对BSN的技术和服务支持工作的投入。在技术框架方面，火币中国是BSN四家底层联盟链框架服务商之一，为BSN提供了国密版Fabric的区块链技术框架和技术服务，这个框架在今年7月31日已经正式集成到BSN中，并推出了公测版本。

8月14日，江西赣州落地BSN城市节点，火币中国也成为了江西移动首批区块链金牌合作伙伴。袁煜明强调BSN是一个开发的生态和平台，火币中国会基于BSN这个大平台在未来还有更多更紧密的合作。[2020/9/2]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

声音 | 赵东：BTC是第一个且唯一一个千万倍币:赵东今日发微博称，ETH不是第一个千倍币，所以不是最后一个。比特币才是第一个、也是唯一一个千万倍币。[2018/9/11]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

漏洞分析

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

日本16家数字货币交易所正计划成立一个自律机构:据路透社报道，16家日本数字货币交易所正在制定计划，最早将在下周成立一个自律机构。该计划旨在加快自律环境的建设，以便更好地确保投资者的安全。据称，之前媒体所报道的将两个日本数字货币行业机构——“日本加密货币商业协会”和“日本区块链协会”合并组成自律机构的计划现在经过商谈已被取消。而这个新的自律机构则将需要在日本金融厅（FSA）进行注册。[2018/2/23]

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

资金去向

攻击者可因此获取大约1000个ETH，所有的资金均被转移至Etherscan并被发送到tornadoproxy。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERBSNHTTTPScere币什么时候上平台bsn币在什么交易所HTT币tps币行情

狗狗币最新价格热门资讯