CER:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

分析师：Cardano NFT“似乎有一个光明的未来”:9月21日消息，加密货币分析师Ben Armstrong发推称，Cardano NFT“似乎有一个光明的未来”，尽管“在NFT领域还很年轻”。他接着提到了几个Cardano驱动的NFT项目，包括Zombits、SpaceBudz、Clay Nation等。（Crypto Globe）[2021/9/21 23:40:28]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

声音 | 欧洲央行首席经济学家：对于加密货币而言，满足对于货币的定义是一个非常大的障碍:据金十消息，欧洲央行首席经济学家连恩表示，对于加密货币而言，满足对于货币的定义是一个非常大的障碍。[2019/7/10]

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

声音 | 许子敬：摩根大通的入局是一个重大利好:火星人许子敬刚刚在微博表示，摩根大通JPMC的诞生，让不少区块链从业者感到恐慌，认为巨头玩家进入使得市场一下子饱和。但巨头也有巨头的局限性：比如科层化官僚化的低效制度，在重大技术机遇面前选择的果断程度，自我革命的决心和意志，这些都阻碍了它们真正地拥抱新技术浪潮，从诺基亚到柯达，莫不如是。 反而我觉得JPMC对于现有区块链行业是一个重大利好，在对区块链持续数年的质疑之后，“打不赢就入伙“成为了巨头们必然的选择。不管阿里链、腾讯链、摩根链、IBM链……这些项目未来表现如何，客观上都为教育大众和培养人才作出了重要贡献。只有从业人才素质不断提升，区块链行业才有未来。 ????[2019/2/16]

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

现场 | 谷得链CEO Ben：马耳他或将成为全球第一个“区块链治理”国家:金色财经现场报道，2018链动亚洲区块链峰会现场，谷得链CEO Ben表示，马耳他目前已通过了三项关于加密货币和区块链的法案，成为第一个专门立法以吸引区块链企业的国家，也可能会成为全球第一个“区块链治理”的国家。同时他也表示，在马耳他注册的谷得国际数字资产交易所将成为全球首批政府认可的交易所之一。[2018/7/15]

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERTPSHTTANCGoCerberustps币行情CHTTYVS.Finance

狗狗币最新价格热门资讯