USD:OUSD遭经典重入攻击损失770万美元 DeFi安全亟待解决

摘要：PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到重入攻击，造成价值770万美元的损失。

近日，PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击，攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击（Re-entrancyattack)，造成价值770万美元的ETH和DAI的损失。

重入攻击是以太坊智能合约上最经典的攻击手段之一，著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉，损失价值5000万美元以太币。

自今年4月起，DeFi项目频遭重入攻击。4月18日，黑客利用Uniswap和ERC777标准的兼容性问题缺陷实施重入攻击；4月19日，Lendf.Me也遭到类似重入攻击；11月14日，黑客利用Akropolis项目的SavingsModule合约在处理用户存储资产时存在的某种缺陷连续实施了17次重入攻击，损失203万枚DAI。

OpenSea：阿迪达斯已暂停与艺术家“FEWOCiOUS”合作:金色财经报道，据NFT市场OpenSea官推披露，该平台已收到了阿迪达斯和“FEWOCiOUS”团队的通知，称阿迪达斯已暂停与艺术家“FEWOCiOUS”合作，后续将通过官方Discord频道发布更新信息。据悉阿迪达斯做出这一决定或与“FEWOCiOUS”遭到性侵犯指控有关，尽管“FEWOCiOUS”声称相关指控并不真实、危险且有害。上周，阿迪达斯宣布adidas Originals与艺术家“FEWOCiOUS”达成合作伙伴关系，首次推出绑定限量版Trefoil Flower Mint Pass NFT且带有NFC标签的代币门控运动鞋，该NFT原计划于6月22日在OpenSea上启动独家投放销售。[2023/6/22 21:54:22]

北京时间2020年11月17日，PeckShield监控到稳定币OUSD遭到重入攻击。OUSD是OriginProtocol推出的一种与美元挂钩的ERC-20稳定币，用户可通过将基础稳定币存入Origin智能合约来铸造OUSD稳定币，之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作，为OUSD持有者赚取回报。

YouSwap 6月第4周销毁108048个YOU:据最新数据，YouSwap上周销毁108048个YOU,YOU总销毁数量达到640241，平台挖矿产出9992189 个YOU。

当前YOU总流通量为12930258 。 截至6月30日13:00 ，YouSwap累计交易总额达87864938 USDT，累计挖矿总产值4,499,635USDT。[2021/6/30 0:16:59]

重入攻击重现凭空创造2050万枚OUSD

PeckShield通过追踪和分析发现，首先，攻击者从dYdX闪电贷贷出70,000枚ETH；

随后，在UniswapV2中先将17,500枚ETH转换为785万枚USDT，再将所贷剩余的52,500枚ETH转换为2099万枚DAI；

动态 | 游戏DApp Crazy House将在Loom Network推出:游戏和社交应用程序的区块链生态系统Loom Network（Loom）周六宣布，游戏DApp Crazy House将在其网络上构建。Crazy House计划推出各种游戏，包括竞争性锦标赛、加密货币奖品、空投。Crazy House的第一个游戏Biker Bolt是太空主题的比赛，其测试版目前在平台上处于“演示模式”。Crazy House旨在激励用户采用，并将从本周开始举行为期3周的Biker Bolt锦标赛，奖金为450美元的DAI。（Sludgefeed）[2019/10/6]

接下来，攻击者分四次铸造OUSD稳定币：

第一次通过mint函数铸造OUSD时，攻击者确实在Origin智能合约中存放了750万枚USDT，并获得750万枚OUSD；

声音 | 经济学家Ammous：官方禁止实际上对比特币有益:据bitcoinist消息，经济学家Stephan Livera最近在接受采访时表示，“官方禁止实际上对比特币有益，如果银行禁止你用银行账户购买比特币，这其实是在给比特币打广告”他用两个理由来解释了这一观点。第一个原因是使用加密货币的风险和回报率，如果币是非法使用的，这就意味着使用它的风险非常高，从而证明了它的价值。第二个原因是，对购买比特币的限制会导致公众出于转向地下市场，从而导致“史翠珊效应，市场对比特币和其他加密货币的需求也会增加。[2019/5/6]

第二次通过mintMultiple多种稳定币函数铸造OUSD时，攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”，并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中，此时智能合约收到2050万枚DAI，在尝试接收0枚假“稳定币”时，攻击者利用恶意合约进行劫持，在智能合约正常启动铸造2050万枚OUSD之前，调用mint函数，先恶意增发了2050万枚OUSD，此次恶意增发由VaultCore合约调用rebase函数实施。

值得注意的是，为顺利实施劫持，攻击者在上述mint函数调用时，真金白银地存入了2,000枚USDT，同时获得第三次铸币2,000枚OUSD。随后，调用oUSD.mint函数第四次铸造2050万枚OUSD。

rebase指代币供应量弹性调整过程，即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制，即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时，攻击者共获得2800.2万枚OUSD，包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase函数，攻击者所获得的OUSD总计上涨至33,269,000枚。

最后，攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC；再在Uniswap中将1045万枚USDT兑换为22,898枚ETH，将390万枚USDC兑换为8,305枚ETH，将190万枚DAI兑换为47,976枚ETH，共计79,179枚ETH，并将其中70,000枚ETH归还到dYdX闪电贷中。

据PeckShield统计，攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI，合计770万美元。

对于次攻击事件，OriginProtocol官方回应称，正在积极采取措施，以期收回资金。

随着DeFi生态的蓬勃发展，其中隐藏的安全问题也逐渐凸显，由于DeFi相关项目与用户资产紧密相连，其安全问题亟待解决。

对此，PeckShield相关负责人表示：“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’，其整体安全性环环相扣，平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查，还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”

作者：PeckShield；来自链得得内容开放平台“得得号”，本文仅代表作者观点，不代表链得得官方立场凡“得得号”文章，原创性和内容的真实性由投稿人保证，如果稿件因抄袭、作假等行为导致的法律后果，由投稿人本人负责得得号平台发布文章，如有侵权、违规及其他不当言论内容，请广大读者监督，一经证实，平台会立即下线。如遇文章内容问题，请发送至邮箱：linggeqi@chaindd.com

标签：USDOUSD稳定币USD币USD价格OUSD价格OUSD币为什么换稳定币DAI稳定币是由哪个国家提出的铸造稳定币

Uniswap热门资讯