2022年10月19日,据BeosinEagleEyeWeb3安全预警与监控平台监测显示,Celo生态上的Moola协议遭受攻击,黑客获利约840万美元。
据悉,MoolaMarket是一个非托管的流动性协议。使用过度抵押贷款、委托贷款或闪电贷款的借款人支付利息,存款人可以赚取复利。攻击发生之后,MoolaMarket表示,其团队正在积极调查这一事件,平台上的所有活动都已暂停。
Beosin:BASE链上LeetSwap中axlUSD/WETH池子遭遇价格操控攻击分析:金色财经报道,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,BASE链上LeetSwap中axlUSD/WETH遭遇价格操控攻击,损失金额约62万美元。经Beosin分析攻击的主要原因是:攻击主要利用了pair合约中的_transferFeesSupportingTaxTokens函数,它允许任意人使用函数让pair合约中的axlUSD转移,导致代币价格上升,攻击者可以卖出代币进行获利。[2023/8/1 16:11:02]
McAfee:“价格操纵”无法打垮比特币:John McAfee在其社交媒体表示,比特币操纵的说法是一场合谋,是企图打垮比特币。但这一说法没有奏效,不起作用,未来形势会逆转。[2018/6/16]
关于本次攻击事件,Beosin安全团队第一时间进行了分析,结果如下:
#事件相关信息
攻击者地址
0x5DAE2C3d5a9f35bFaf36A2E6edD07c477f57789e
通过下图可以注意到黑客的起始资金为18万枚CELO,准备就绪之后,黑客便开始了他的攻击之旅。
德克萨斯大学研究生:所有加密货币的价格都受到了价格操纵影响:德克萨斯大学的金融学教授John Griffin和研究生Amin Shams发表的一篇论文显示,去年比特币及其他主流加密货币价格上涨中至少一半可能是由价格操纵活动推动的。今日在CNBC的Fast Money节目,Amin Shams表示,任何投资者首先需要从市场获得的是信任,市场达到自然成长首先需要完整性。在2017年的繁荣时期,比特币和其他加密货币的价格上涨,可能并非全是基于需求的推动。他还指出,不同加密货币的价格是相互关联的,很难区分不同的加密货币,他发现所有加密货币的价格都受到了(价格操纵的)影响。被问及比特币鲸鱼时,他承认可能会存在比特币鲸鱼,但他们并没有特别关注这一点。[2018/6/14]
第一步:看下图,可以看到攻击者进行了多笔交易,用CELO买入MOO。
宏观经济学家Pter Tchir:比特币存在价格操纵:据bitcoinist消息,宏观经济学家Pter Tchir在为福布斯撰写的一篇专栏文章中表示,如果比特币的价格不存在持续的被操纵,他会感到非常惊讶。他认为,这些活动是否符合法律定义,或可能导致刑事起诉还有待观察。永远不要忘记比特币三条规则中的第二条规则 ,即“没有规则”。根据Tchir的观点,比特币鲸鱼和矿工在比特币价格上涨时拥有既得利益。对于矿工来说,想从经济角度推高价格是有道理的。Tchir与主流市场进行比较,认为是财富集中给了比特币鲸鱼“推动价格上涨的动力”。[2018/5/30]
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,MOO对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02CELO提高到0.73CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap,28次借贷,达到获利过程。
-8.82M?CELO
-1.85M?MOO
-765k?cEUR
-66k?cUSD
#漏洞分析
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。
抵押借贷合约支持4种代币的借贷CELO,cEUR,cUSD,MOO。推测抵押借贷合约中每种代币的价格可能是由其与CELO的交易对进行判断的。因为后3种代币未进行过交换,所以价格没有改变,只借贷了一次。
#资金追踪
截至发文时,攻击者将约93.1%的所得资金返还给了MoolaMarket项目方,将50?CELO捐给了impactmarket。自己留下了总计65万个CELO作为“赏金”。
作者:AndreCronje来源:medium1.简介2022年的加密市场动荡不安,一些加密货币的价格下跌、网络故障和交易所的倒闭导致了2万亿美元的损失.
1900/1/1 0:00:00文章作者:JustinPeyton主张内容主要突出了3个点,1)向人们和品牌宣传Web3和元界技术将为企业、营销以及人们、社区和世界提供的价值。2)突出可能推动规模和采用的用例.
1900/1/1 0:00:00原文作者:azf.eth原文来源:twitterWeb3的未来将不仅仅是PFP的jpegs、NFT市场、CEXs/DEXs和DeFi协议.
1900/1/1 0:00:00Uniswap治理投票刚通过了4千万张"赞成"票,预计UniswapV3将在4-6周内在zkSync上部署.
1900/1/1 0:00:00主要观点到目前为止,10月份Lens拥有20,000名活跃用户,这是该协议的历史最高水平,是Farcaster的近8倍;虽然Lens的整体参与度更高.
1900/1/1 0:00:00这篇文章的灵感来自一条推文“你想了解更多关于DAO的信息吗?你紧迫的问题是什么?”Frisson回答,他有兴趣从Trustware和Socialware的角度了解工作组是如何实施的.
1900/1/1 0:00:00