链资讯 链资讯
Ctrl+D收藏链资讯
首页 > MATIC > 正文

USD:Formation.Fi 闪电贷安全事件分析_Wrapped USD

作者:

时间:

前?

11月21日,知道创宇区块链安全实验室?监测到以太坊上的DeFi协议?Formation.Fi?遭遇黑客攻击,损失近10万美元。实验室第一时间跟踪本次事件并分析。

攻击流程及形成漏洞成因分析

简述攻击流程

首先黑客通过合约0xd02C进行闪电贷借出启动资金200USDT

向合约Vault质押100USDT获得99FormationUSD?

SEC使用Terraform裁决暗示Coinbase驳回动议攻击计划:金色财经报道,美国证券交易委员会 (SEC) 最近在针对加密货币矿商Green United的诉讼中提交的一份文件可能会揭示其如何处理针对Coinbase的案件。

在8月4日的一份文件中,SEC 表示,法院驳回了被告的论点,即‘重大问题原则’和正当程序条款‘阻止美国证券交易委员会指控该公司的数字资产是‘投资合同’。因此,Terraform Labs与此事相关,因为它提供了额外的权力来拒绝被告的’重大问题原则’和公平通知抗辩。

SEC的最新论点可能会揭示它如何处理Coinbase自己的驳回动议,该动议也是于8月4日提交的。[2023/8/10 16:17:36]

通过Vault合约swapin函数置换100USDT并附带大量fee

dForce:已向相关执法部门提出诉讼追究本次攻击事件:2月11日消息,dForce 官方在社交媒体上发文表示,dForce 项目方一直在与安全公司以及合作伙伴进行全天候合作,追踪攻击者 IP 地址留下的痕迹并追查被盗资金。

同时,dForce 已向相关执法部门提起诉讼以追究此案。若攻击者归还被盗资金,dForce 此前提出的赏金方案依然有效。目前技术团队正在审查其它 Vaults,将在未来几天内完成安全审查后恢复正常。[2023/2/11 12:00:46]

调用Vault合约函数withdraw销毁99FormationUSD获得漏洞利润99999USDT

Bisonic完成Forgotten Runiverse土地代币融资,Dialectic领投:4月14日消息,游戏开发商和发行商Bisonic Inc.和Magic Machine周三宣布已经完成一轮土地代币融资,具体金额未披露。该代币将出现在即将推出的大型多人在线角色扮演游戏Forgotten Runiverse中。

Bisonic在新闻稿中表示,此轮土地私募由Ryan Zurrer创立的瑞士加密基金Dialectic领投。Seven Seven Six(由Reddit联合创始人Alexis Ohanian创立)、Libertus Capital、Kenetic Capital、Placeholder、1confirmation、Wenew Labs、No Goat Milk (Future Corp)、Fiskantes、Deeze、Soby等参投。

根据路线图,这款基于Magic Machine的NFT项目Forgotten Runes Wizard’s Cult的游戏正在开发中,将于6月进行土地公开销售。(The Block)[2022/4/14 14:23:47]

最后归还闪电贷将获利转到黑客地址

漏洞成因分析

检查源码后发现具体问题主要出在Vault合约函数?swapIn?上,可以看到该函数调用参数?fee?能影响记录着全部代币的变量?totalTokens?的计算,fee越大totalTokens越大。

而在通过函数withdraw实际获取利润时,可以看到实际转账时totalTokens参与了计算,所以当大量的fee被带人totalTokens计算后,会造成withdraw函数的转账超过原本的转账金额。

而造成攻击获利巨大的另个原因是FormationUSD与USDT的小数点数位不同,FormationUSD为18位,USDT为6位。小数点精准数位的差距在实际转账中进一步放大了黑客的收益。

Vault:

TetherToken:

重新梳理攻击过程

第一步:选用USDT作为攻击使用的代币,目的USDT与FormationUSD的小数点精确度不同

第二步:黑客质押100USDT,目的为了后续调用withdraw函数实现套利

第三步:黑客兑换100USDT,目的添加大量的fee提升totalTokens的值

第四步:黑客取回质押的USDT,目的使用提升后totalTokens与利用代币间小数点精确度不同来套取利润

第五步:归还闪电贷,转移套取的利润

总结

本次闪电贷安全事件发生的主要原因在于项目方设计函数?swapIn?时低估了fee对totalTokens的影响,且忽视了不同代币间小数点精确度的影响。

知道创宇区块链安全实验室?再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。

来源:金色财经

标签:USDUSDTSDTKENWrapped USDBitkeep钱包usdt怎么换人民币usdt币圈最新消息Crude Token

MATIC热门资讯
TRO:格局打开了 孙宇晨陆续出席多个全球顶级峰会展现超强影响力_NFT

近日,波场TRON创始人兼BitTorrentCEO孙宇晨受邀陆续出席了“NFTBUSAN2021”线上活动、第六届SFF2021新加坡金融科技节、2021年米尔肯研究院亚洲峰会等全球顶级盛会.

KEN:金色观察|加密市场监管全面趋严且逐步细化 NFT/元宇宙涵盖在列_NFT

2021,DeFi、NFT、元宇宙等加密行业热点如雨后春笋般涌现,其蓬勃发展更是对传统金融提出了巨大挑战,随之而来的加密货币监管态势也愈发严峻。所以,年终岁尾,监管依旧是加密货币市场的主旋律.

KEN:碎片化之后的NFT,还是原来的NFT吗?_iron币用什么挖

撰文:0x13 NFT涨价的速度比我们赚钱的速度快得多,很多曾经离我们很近的NFT如今已经望尘莫及,很多曾经我们买得起很多的NFT如今却只买得起寥寥几只.

QUID:Animoca Brands为NFT市场Quidd筹集500万美元资金_quidd币最新消息

Quidd是一个数字收藏品市场,也是AnimocaBrands的子公司,其已通过私人预售和首次DEX发行(IDO)共筹集了500万美元.

区块链:作为休闲经济的链游 背后是玩家驱动型经济的兴起 | 链茶速递_区块链游戏币有哪些

链茶速递是链茶馆旗下编译团队,关注区块链及加密货币领域最新动向,重点介绍国外的新观点、新风向。 来源:Medium 作者:SIDUS 翻译:Jasur 2021年下半年,区块链游戏成为整个加密行.

IDD:a16z解析如何建设基于声誉的去中心化身份系统_NIM

随着Web3概念以及ENS等项目的影响力逐渐扩大,去中心化身份及Web3信誉系统也引起越来越多的关注.