链资讯 链资讯
Ctrl+D收藏链资讯

ETH:Popsicle Finance闪电贷攻击事件分析-ODAILY_weth币价格

作者:

时间:

前言

北京时间8月4日上午,知道创宇区块链安全实验室监测到以太坊上的DeFi协议PopsicleFinance遭遇闪电贷袭击,目前只有SorbettoFragola受到影响。实验室第一时间跟踪本次事件并分析。

分析

攻击者信息

攻击tx:

0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc

攻击合约:

0xdFb6faB7f4bc9512d5620e679E90D1C91C4EAdE6

辅助攻击合约1:

0x576Cf5f8BA98E1643A2c93103881D8356C3550cF

辅助攻击合约2:

0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8

被攻击池信息:

PLP(USDT/WETH):0xc4ff55a4329f84f9Bf0F5619998aB570481EBB48

PLP(USDC/WETH):0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

PLP(WBTC/WETH):0x0A8143EF65b0CE4C2fAD195165ef13772ff6Cca0

PLP(USDT/WETH):0x98d149e227C75D38F623A9aa9F030fB222B3FAa3

PLP(WBTC/USDC):0xB53Dc33Bb39efE6E9dB36d7eF290d6679fAcbEC7

PLP(USDC/WETH):0x6f3F35a268B3af45331471EABF3F9881b601F5aA

PLP(DAI/WETH):0xDD90112eAF865E4E0030000803ebBb4d84F14617

PLP(UNI/WETH):0xE22EACaC57A1ADFa38dCA1100EF17654E91EFd35

攻击流程:

PLP池合约方面调用流程

攻击合约0xdFb6调用PLP池合约的deposit()函数进行质押

将质押获得的shares转移给辅助攻击合约0x576C

通过辅助攻击合约0x576C调用PLP池合约的collectFees()函数

辅助攻击合约0x576C将步骤2获得的所有shares再次转移给下一个辅助攻击合约0xd282

同步骤3,辅助攻击合约0xd282调用PLP池合约的collectFees()函数

辅助攻击合约0xd282将步骤4获得的所有shares转移回攻击合约0xdFb6

攻击合约0xdFb6调用PLP池合约的withdraw()函数进行赎回,完成攻击

辅助攻击合约0x576C和0xd282调用PLP池合约的collectFees()函数提取手续费奖励

细节

攻击者通过AAVE闪电贷借来USDT、ETH、WBTC、USDC、DAI、UNI六种资产依次对PopsicleFinance的SorbettoFragola系列的8个PLP池进行了闪电贷攻击。

漏洞原因在于PLP池合约对手续费奖励的计算上,一方面在计算中直接采用了用户的LP余额值,而LP可被随意转账至另一账户;另一方面,用户的奖励债务并不会随着LP的转账而转移。

于是攻击者在质押后将LP依次转移给两个辅助攻击合约,并在辅助攻击合约调用collectFees()函数时传参0,为了触发updateVault以更新奖励数据,最后再通过collectFees()提取奖励。

总结

此次PopsicleFinance遭遇的闪电贷攻击的本质原因在于对手续费奖励计算的错误设计,未做全面考虑,从而使得攻击者通过多个地址循环利用资金流进行攻击套利。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:ETHWETUSDWETHIETHV价格weth币价格Stable USDweth币等于多少人民币

比特币交易热门资讯
BOB:DeFi史上金额最大的盗窃事件发生,日常使用我们应该注意些什么?-ODAILY_ALICE

据数据统计,2021年第三季度共发生了11起重大DeFi盗窃事故,其中有5起属于跨链桥资产盗窃事故.

元宇宙:纯白矩阵开启元宇宙开发者集训营活动,今日正式开始招募-ODAILY_区块链

报名截止日期: 8月2日----8月10日23点59分DeFi衍生品协议Perpetual Protocol启动主网:12月16日.

数字艺术:韩国NFT有多火?明星艺术家NFT作品30分钟内成交2亿韩元-ODAILY_SWISSNFTFUND价格

前言: 本文介绍了NFT在韩国的火爆程度和NFT行业出现的版权问题,以及对韩国NFT现状的分析。最近NFT在韩国掀起一股热潮,成为韩国数字货币行业的“顶流”.

FILE:通向 Web3 之路:Filecoin + 以太坊-ODAILY_CoinBase中国人怎么实名认证

在最近的EthCC2021大会上,ProtocolLabs创始人JuanBenet进行了演讲,阐述了为什么Filecoin和以太坊的结合,能够引领我们走向实现Web3的道路.

NFT:DeFi+NFT赋予行业新趋势-ODAILY_DEFI

看看下面的图片,最好猜测一下它的售价。 Cryptopunk7523除非你非常熟悉NFT,否则你可能认不出它是“Cryptopunk7523”的NFT,这是在以太坊区块链上作为NFT铸造的100.

NFT:DAO依托代码的数字化民主能否颠覆现存的管理模式-ODAILY_makerdao创始人

撰稿人:诗文 2016年5月初,以太坊社区的一些成员宣布成立TheDAO,也称为GenesisDAO。它是一种完全由“代码”运行的管理体制.