CER:一个小数点造成数百万美元蒸发，Fantasm Finance攻击事件分析_GoCerberus

北京时间2022年3月9日21:50，CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币，并将其交易为ETH，总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

杜均：CZ面对监管的态度是一个巨大挑战:金色财经报道，据火币联合创始人杜均在社交媒体披露，ABCDECapital8月正式对外投资，目前已经领投7个项目，覆盖安全、数据、社交、ZK、NFT等赛道，如@MetatrustLabs、@ScopeProtocol等。

今天Binance占据了75%的市场份额，无论愿意与否，CZ面对监管的态度代表了整个行业的态度，对于CZ这是一个巨大的挑战。FTX事件的影响力远超预期，最近几年传统机构入场最大功臣一个是Coinbase、一个是Circle、另外一个就是FTX。FTX的暴雷，让传统老钱和政府机构对于Crypto世界的混沌无序害怕甚至厌恶，未来很长一段时间里政府不会有更宽松的政策支持Crypto的发展与创新，主权基金也不会把钱放进来。[2022/12/13 21:41:32]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

数据：昨日一个小时内有超过25000个比特币钱包地址被创建:根据Glassnode的数据，在2020年11月18日，一小时内就有近2.5万个新的比特币钱包地址被注册。尽管该数据并没有显示这些钱包是在交易所创建的还是非交易所创建的，但上一次出现这种情况还是在2018年初。（Zycrypto）[2020/11/19 21:21:48]

②在第一个tx中，攻击者将Fantom代币(FTM)换成FSM代币，并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

③攻击者调用collect()函数，以此铸造了超出权限更多的XFTM代币。

动态 | 迅雷发布Q3财报：区块链是下一个增长点:日前，迅雷发布了2018年第三季度财报。财报显示，本季度迅雷集团总营收为4530万美元，保持稳健增长态势。毛利润为2380万美元，较去年同期增长超50%，毛利率达52.7%，远高于2017年同期水平的35.5%。本次财报中，迅雷还披露了区块链业务的最新进展，财报显示，迅雷近期在区块链业务上动作频频，大量旨在建设生态系统、布局未来的动作被集中执行。从这些动作来看，迅雷的战略重心已全面向区块链偏移，加重了在该领域的投入。根据第三季度财报，该季度迅雷研发费用为1970万美元，占总营收的43.4%，同比上涨27.1%。[2018/11/14]

④攻击者多次重复步骤②和③，造成FantasmFinance巨额损失。

华尔街分析师：比特币搜索量下降对价格来说是一个不好的迹象:华尔街市场研究数据分析企业Datatrek Research的分析师Nicholas Colas表示：比特币搜索量下降对价格来说是一个不好的迹象。比特币需要重建全球关注。[2018/6/7]

在函数calcMint中，合约使用以下公式来计算铸币量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误，导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计，这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞，往往会认为漏洞必然是很复杂的，其实并非总是如此。有时一个小小的计算错误，就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发，加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外，技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。

参考链接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

标签：CERTPScertikERTGoCerberustps币圈certik币价Experty

PEPE热门资讯