链资讯 链资讯
Ctrl+D收藏链资讯
首页 > XMR > 正文

INK:首发 | Warp Finance闪电贷攻击事件分析_Chain

作者:

时间:

一张100元纸币,可以做的事情非常多,买早餐,买菜,炒股,旅游,折纸飞机甚至是当壁纸贴到墙上。

功能太多,反而衍生出了各种各样的不同形式的钱。

比如说存放在银行卡里的数字,存放在诸如支付宝一类应用中的数字,存放在股票基金里的数字,或是借条上的一句话。

闪电贷作为新型金融产品,被认为是金融领域区块链应用的一大跳跃式进步。

闪电贷将借贷部分属于钱的形式功能“剥离”而出,资金可以几乎不受阻碍的从一个协议流向另一个协议,从一类资产流向另一类资产,这大大提高了单一功能的效率。

然而对于用户的便利也使得它往往有空可钻,黑客使用起来简直可以称得上是“一本万利”甚至是“无本万利”。

2020年,闪电贷攻击频发,成为安全事故中的“新常态”。

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告,4月9日16:50,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日16:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT空投奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

北京时间12月17日上午,CertiK安全技术团队收到闪电贷攻击预警,发现一笔针对Warp Finance项目的闪电贷攻击。

CertiK安全技术团队立即展开分析,现将技术细节分析如下:

首发 | imKey正式支持Filecoin,成为首批Filecoin硬件钱包:12月1日,随着imToken2.7.2版本上线,imKey同步支持Filecoin,成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一,成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。

据悉,imKey团队已在Q4全面启动多链支持计划,计划实现imToken已经支持的所有公链项目,本次imKey升级更新,无需更换硬件,不涉及固件升级,通过应用(Applet)自动升级,即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]

1. 通过闪电贷,攻击者从uniswap和dydx处共借得5笔贷款,每笔借出的WETH和DAI数目如下:

首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》,经金色财经查证,游戏中玩家达到22级将会接触到专属猫的玩法,而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外,游戏中所有的猫默认都是未上链状态。未上链的猫不能出售,也无法进入市场与其他玩家配对;但是你可以使用这些猫与你的QQ/微信好友进行配对,产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后,这些猫就可以进入市场,通过配对赚取点券,或者出售赚取点券。专属猫是否上链,并不影响它的增益效果。但只有上链后,它才能面对全服务器所有的玩家进行繁殖、交易。

?

《一起来捉妖》中的专属猫玩法,基于腾讯区块链技术,游戏中的虚拟数字资产得到有效保护。此外,基于腾讯区块链技术,猫也可以自由繁殖,并且运用区块链技术存储、永不消失。[2019/4/11]

表一: 攻击流程中闪电贷借出的代币种类和数目

首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯,日前,比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称,新品将采用新一代散热技术及全局优化定制方案。据了解,该散热技术可能是指芯片的封装技术,也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价,这或许是为决战丰水期做出的准备。[2019/3/22]

2. 攻击者将借贷所得代币放入uniswap的WETH-DAI流动性池中,铸造得到约94349个流动性证明LP代币,然后将所有的这些LP代币通过调用图一中位于0x13db1cb418573f4c3a2ea36486f0e421bc0d2427地址WarpVaultLP智能合约中provideCollateral()函数存入到Warp Finance的Vault中。

公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]

图一:WarpVaultLP智能合约中provideCollateral()函数

3.?当攻击者在WarpVaultlp合约中存入LP作为collateral之后,调用位于0xBa539B9a5C2d412Cb10e5770435f362094f9541c地址处的WarpControl智能合约中的borrowSC函数来从warp项目中借出USDC,如图二所示。

图二:WarpControl智能合约中的borrowSC()函数

图二中1582行中的getBorrowLimit()函数会通过调用同一合约中的getTotalAvailableCollateralValue(),来间接调用oracle的getUnderlyingPrice()函数来获得当前攻击者存入的collateral的价格,

图三:WarpControl智能合约中调用的价格预言机地址

通过查看价格预言机oracle地址的值, 可以发现WarpControl智能合约调用了位于0x4A224CD0517f08B26608a2f73bF390b01a6618c8地址的UniswapLPOracleFactory智能合约作为计算质押资产的价格预言机oracle。

通过调用oracle其中的getUnderlyingPrice()函数来计算价格,getUnderlyingPrice()函数如图三所示。

?图四:UniswapLPOracleFactory智能合约中getUnderlyingPrice()函数

getUnderlyingPrice()函数在1390和1394行执行了图5中的consult()函数并在1404行执行了图6中的_calculatePriceOfLP函数来计算价格。

其中输入_calculatePriceOfLP函数的参数priceAsset1和priceAsset2来自consult函数。

图五:UniswapLPOracleFactory智能合约中consult()函数

图六:UniswapLPOracleFactory智能合约中_calculatePriceOfLP()函数

从以上两图中可以看出,攻击者质押的collateral可以借出的usdc数目或者价格的计算公式为:

(token0的价格 * token0的数目 + token1的价格 * token1的数目) / 当前合同中LP代币的供给量

但是由于(token0的价格 * token0的数目 + token1的价格 * token1的数目) 这一部分无法正确计算出当前uniswap中对于token0-token1代币对LP的总共锁定价格,因此计算出的攻击者存入的collateral可以借得的USDC的数目比正常情况多。

利用Warp Finance项目使用的oracle计算质押的LP代币资产价格错误的漏洞,最终攻击者从Warp finance项目中获利约1462枚ETH代币,总价值约95万美元。

此外,攻击者还mint了价值大约600万美元的DAI-ETH LP share,还有约100万美元的获利流入了uniswap和sushiswap的LP中。

总体来看,在本次攻击中,Warp finance 遭受的损失大约为770万美元。

值得一提的是,Warp Finance 提到他们能够recover大约550万美元的损失,并将recover的资金用于补偿用户。

来源:https://twitter.com/warpfinance/status/1339751977836789767

CertiK安全技术团队认为这一次攻击特点在于攻击者采用了多种多次闪电贷来提供攻击所用启动资金,并利用了当前热门的预言机价格计算漏洞来进行攻击。

针对此类攻击,CertiK安全验证团队建议如下:

1. 接入chainlink等完善的第三方价格预言机对所有代币价格提供实时价格数据

2. 在智能合约内部建立细致的价格监控程序,对任何可能产生巨大波动的交易进行管制或者阻止。

标签:INKHAIAINChainLINKS TokenConcern Poverty ChainTChainSentinel Chain

XMR热门资讯
区块链:Top100国内NFT平台 联盟链、公链使用情况统计丨行业观察_FLUX

今年以来,NFT市场火热,NFT平台也百花齐放,今天郭律师团队以100个主流的数字藏品平台为样本,从上链情况、交易方式、平台背景等角度对各平台的基本情况进行了统计.

LUX:AMM终极笔记:五大类无常损失解决方案_conflux币在哪里交易

前言 ——《AMM终极笔记》是对诸多代表性 AMM 项目和相关论文进行的一项综述(survey),由于 AMM 所涉及层面较为广泛.

区块链:新手指南:一文读懂Chainlink预言机_NLINK

Chainlink是一个去中心化预言机网络,将智能合约安全地连接至区块链网络以外的数据和服务。现代经济中的传统系统一旦接入了Chainlink预言机,就可以连通最前沿的区块链技术,让商业和社会流.

WAR:TreasureDAO 攻击事件分析_Imtoken官网地址下载

前言 北京时间2022年03月03日,知道创宇区块链安全实验室?监测到?Arbitrum?上? TreasureDAO?的 NFT 交易市场 出现多次异常交易,黑客通过漏洞免费获取交易市场中部分 NFT 。知道创宇区块链安全实验室将对本次事件深入跟踪并进行分析。

INS:首发 | DeFi+NFT:保险赛道的黑马 交易所风险 我们来保障_lvctripchains

近期Kucoin被盗,okex不能提币事件中,也已经充分暴露出中心化交易所的风险。 脆弱的中心化的交易所: 1. 技术风险 服务器软件漏洞、配置不当、DDoS攻击、服务端Web程序漏洞(包括技术.

INS:DAO或将颠覆未来工作模式?_GDEFI币

2021年,去中心化自治社区DAO概念因为宪法DAO而红极一时,一群来自全球各地素不相识的年轻人,因为一个拍卖宪法的想法,在短短三天之内募集了超过4000万美金的资金,轰动一时.