链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 加密货币 > 正文

USD:又现套利攻击:Goldfinch项目的SeniorPool合约遭受攻击事件分析_USDJ币

作者:

时间:

又现套利攻击!—Goldfinch项目的SeniorPool合约遭受攻击事件分析

2022-06-2816:55:30

2022年6月28日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Goldfinch项目的SeniorPool合约遭受攻击,攻击者累计获利金额为28,523个USDC,项目方累计损失541,158个USDC。成都链安安全团队对此事件进行了分析,现与大家分享。

Curve Finance:旧pBTC池已弃用,池内仍剩少量资金系ERC-777设计影响:金色财经报道,针对安全团队Decurity发现Curve Finance平台另一个安全漏洞,部分代币市场智能合约使用ERC-777 Callback或引发重入攻击安全隐患,且已有机器人利用该漏洞获利约1900美元,对此Curve Finance官推回应称,旧pBTC流动性池目前已被弃用,“仍然”剩下一些少量的资金是由于ERC-777设计问题造成。[2023/8/3 16:15:44]

#攻击过程

攻击交易地址:

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

模块化区块链Celestia完成5500万美元融资:10月20日消息,模块化区块链网络Celestia完成5500万美元融资,Bain Capital Crypto和Polychain Capital领投,参投方包括Placeholder、Galaxy、Delphi Digital、Blockchain Capital、NFX、Protocol Labs、Figment、Maven11、Spartan Group、FTX Ventures、Jump Crypto以及多名天使投资人,包括Balaji Srinivasan、Eric Wall和Jutta Steiner。

据介绍,Celestia引入了模块化区块链架构来解决部署和扩展区块链的挑战,Eclipse、Constellation和dYmension等模块化区块链项目已选择Celestia作为其数据可用性层。Celestia于今年5月推出了其测试网Mamaki,其引入了一个新的数据可用性API,为构建区块链解锁了一个强大而简单的原语:有序且可用的数据。Mamaki的升级计划于2022年10月下旬进行。[2022/10/20 16:30:33]

攻击者地址:

孙宇晨方回应收购传闻:其与波场均非火币买家,将作为顾问支持火币发展:10月10日消息,针对有媒体“Justin Sun 是 Huobi Global 本次交易的实际买家”相关报道,Justin Sun 方面对财联社表示,Justin Sun 和波场 TRON 均不是火币本次股份出售的收购方。未来,Justin Sun 和波场 TRON 将一如既往地支持 Huobi 的发展。Justin Sun 已经受邀担任新成立的 Huobi Global 顾问委员会成员。[2022/10/10 10:29:31]

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻击者合约:

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻击存在多笔,我们选取了具体的一笔攻击交易进行分析:

1.?第一步:攻击者通过UniswapV3的DAI-USDC池子闪电贷借出110,000个USDC代币。

2.?第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。

3.?第三步攻击者利用SeniorPool合约的withdrawInFidu函数,把106,667个FIDU代币兑换成113,853个USDC,然后归还闪电贷110,011个USDC,剩余本次攻击获利的3,842个USDC。

漏洞原因为:攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币,来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03,而在SeniorPool中的比例为1:1.07,这就产生了套利空间。

图1?Curve中FIDU兑换USDC的比例

图2?SeniorPool合约中FIDU兑换USDC的比例

下面是具体的代码实现:

攻击者利用withdrawInFidu函数销毁FIDU代币换取USDC。而可获取USDC的数量是通过_getUSDCAmountFromShares函数中的sharePrice去计算的。这里的sharePrice会随着分红的增加而增加,攻击者就可以利用Curve的FIDU-USDC池子获取FIDU代币,从而获取SeniorPool合约抵押FIDU代币的红利。

总结

针对本次事件,成都链安安全团队建议:

项目方使用新的代币代替FIDU代币为凭据代币,并确保其他途径无法获取该凭据代币。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计,规避安全风险。

来源:金色财经

标签:USDSDCUSDCFIDUSDJ币CUSDC价格usdc币市值减少FIDLE价格

加密货币热门资讯
TOP:Top Player 顶配架构 披荆斩棘为你而来_dynamic币分析

近期,大盘受到美联储缩表、连续加息等政策的影响,即便是BTC、ETH都不得已被拉下神坛,自2021年11月比特币冲顶峰值后,整体市场为消化此类负面影响而持续陷于疲软下行、增量放缓的窘境.

METAF:  野蛮生长结束 欧盟刚刚打击完加密货币又对它动手了_MIC

  野蛮生长结束欧盟刚刚打击完加密货币又对它动手了  今年以来,比特币等加密货币整体价格走低,堪称一场大地震,无数投资者亏得血本无归.

ETA:让收益最大化Meta F.DAO全新升级2.0产品已上线_CER

????历史的车轮滚滚向前,也造就了一轮又一轮的财富机遇。放眼21世纪,这可能是人类历史上绝无仅有的好时代,也是普通人最容易实现逆袭的时代,1980年改革开放的机遇是下海经商,2000年实体资产.

USDC:Mark Art数藏平台重磅上线_PoolTogether

多年区块链深耕,以出色的应用实力,服务中国数字网络,智能制造以及供应链管理领域,深受业内认可。自国内元宇宙概念诞生起,马可科技便加入了元宇宙开放的进程,2020年公司正式成立,深耕人工智能,元宇.

USDC:Casper与KuCoin社区AMA活动内容摘要_SafuFide

近日,CasperLabs联合创始人兼首席执行官MrinalManohar与Casper联合会董事RalfKubli应邀一同参加了KuCoin社区举办的AMA活动.

CAS:合并后的以太坊面临哪些潜在的中心化风险?_BABYDOGECASH币

以太坊合并将给以太坊带来新的中心化问题,这一问题主要体现在三个方面。虽然以太坊合并后的中心化问题是可以解决的,但如果不加控制,以下三个领域的中心化有可能控制和破坏以太坊区块链: 共识层客户端的多.