1.前言
北京时间2022年3月15日,知道创宇区块链安全实验室监测到DeusFinance遭到黑客攻击,损失约300万美元。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
2.基础信息
攻击者地址:0x1ed5112b32486840071b7cdd2584ded2c66198dd
攻击合约:0xb8f5c9e18abbb21dfa4329586ee74f1e2b685009
ZBG&MDEX启动联合挖矿,参与可挖260万ZT+10万美元等值MDX:据ZBG官方消息,ZBG&MDEX将于4月16日20:00启动联合挖矿活动,活动期间,在MDEX(HECO链)上为ZT/USDT提供流动性可挖MDX,质押MDX可挖ZBG平台币ZT。活动周期为30天,活动奖池为260万ZT+等值10万USDT的MDX,具体活动详情可访问官网咨询。
ZBG交易所为中币(ZB)国际站,2018年成立于香港,ZT是ZBG交易平台本身的权益证明,支持手续费抵扣、投票上币、申购白名单权限、上币费折扣、DeFi生态等应用场景。
MDEX是致力于打造集DEX、IMO、DAO为一体的DeFi平台,支持BSC、HECO及ETH的去中心化跨链交易协议,位列CoinMarketCap、CoinGecko的DEX排行榜第一。更多详情请查询官网公告。[2021/4/16 20:27:10]
DeiLenderSolidex合约:0xeC1Fc57249CEa005fC16b2980470504806fcA20d
ETHA已上线MXC、Gate和ZBG 最高涨幅达883%:据官方消息,ETHA已于3月8日20:00上线MXC、Gate和ZBG,开盘价格1 USDT,最高价格达4.8 USDT,最高涨幅达883%,现报2.85 USDT。
据悉,ETHA Lend是由以太坊和波卡支持的跨链收益优化协议,该算法使用多个数据点,例如当前的gas fee,收益的移动平均值以及资产的供应预算,以利用优化技术获得最佳价值和投资回报。[2021/3/9 18:26:46]
甲骨文合约:0x5CEB2b0308a7f21CcC0915DB29fa5095bEAdb48D
ZBG将于2月24日启动DAOfi(DAOFI)申购:据官方消息,ZBG将于2月24日14时启动DAOfi申购,活动申购总量为3万枚,申购价格为0.53USDT,申购时间:2月24日14:00-2月25日14:00;并将于2月25日16:00开启DAOFI/USDT交易。
DAOfi是一个具有可扩展性的以DAO(去中心化自治组织)管理的去中心化交易所,主要的用户场景是社区,DAOfi的使命是为健康的代币经济提供轻量级、灵活的基础设施。DAOfi将作为原始代币,用于奖励网络的贡献者和管理协议。
ZBG Super Launchpad是人人参与既有所得的全新模式;实际获得代币=(个人申购金额/全网总申购金额)X代币销售总量。更多详情请访问官网。[2021/2/23 17:43:26]
交易哈希:0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c
3.漏洞分析
此次事件,漏洞关键在于协议通过StableV1AMM-USDC/DEI交易对在获取价格时被攻击者操控,导致普通用户资产被清算,最终获利。
DeiLenderSolidex合约的清算函数liquidate中,会通过isSolvent函数来判断用户是否应该被清算,而isSolvent调用Oracle.getPrice来问价判断抵押物的价格,因而产生了漏洞
由函数getPrice可知,代币价格算法:)x10^18/
DEI的代币价格是通过DEI和USDC在池子中的余额进行判断的的,因此攻击者利用闪电贷发起此次攻击,控制了DEI代币的价格。
4.攻击流程
攻击者从SPIRIT-LP_USDC_DEI中闪电贷借出约970万DEI代币,之后再次使用闪电贷从sAMM-USDC/DEI中获取了2477万DEI代币用于操纵价格预言机
随后清算价格操纵后的破产用户
之后偿还闪电贷到sAMM-USDC/DEI中
烧毁流动性代币获取521万USDC和524万DEI
使用521万USDC换取517万DEI
归还从SPIRIT-LP_USDC_DEI中借的970万DEI
最后攻击者将获取的DEI全部换成USDC,总获利约300万美元。
5.总结
本次攻击事件核心是由于价格预言机对代币价格的实现存在问题,使得能够人为的通过池子中代币的余额来对代币价格进行控制,导致了此次事件的发生,建议官方在使用预言机时能够严格控制价格的逻辑实现。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
「我钱包里的ETH都没了!」今日,DeFinance创始人Arthur在社交媒体上表示其遭受鱼叉式网络钓鱼攻击.
Gate.io將於2022年3月21日22:00~22:10進行BTC,USDT以及USD結算的永續合約引擎升級,時間約爲10分鐘.
親愛的用戶:幣安 交易挖礦將開啟新一輪交易大賽。活動期間,用戶在交易池交易代币,即有機會參與瓜分40,000WOO獎勵.
公告编号2022031801各位關心ZBG的投資者們和項目方:ZBG將於HKT2022年3月18日上線INV項目,並開放INV/USDT交易對,具體時間如下,請投資人和項目方提前做好交易準備.
尊敬的用户: ?? BKEXGlobal举办的"DOME充值福利"活动已于2022年2月26日12:00圆满结束,感谢用户的大力支持!活动奖励将于5个工作日内发放,请留意账户余额变动.
3月11日,总部位于以色列的以太坊Layer2初创公司StarkWare宣布即将完成重要的一轮融资。在这一轮融资中,该公司的估值为60亿美元.
链资讯