北京时间9月29日,CertiK安全研究团队发现Yearn.finance的新项目Eminence.finance出现异常交易。有三笔共计价值约1.09亿人民币的资金,被从Eminence智能合约中转出,地址为:0x5ade7ae8660293f2ebfcefaba91d141d72d221e8。CertiK安全研究团队认为该事件是攻击者使用脚本程序,通过闪电贷flashloan借得初始资金,利用Eminence项目中的联合曲线(Bonding Curve)模型,反复购买出售EMN和eAAVE来获得收益。
以下分析以:
https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8为例子,该笔交易流程图如下:
在该笔交易中,攻击者首先通过Uniswap中的闪电贷(Flash Loan)服务借得1500万个DAI, 然后全部购买EMN代币,共购得约1,383,650,487个EMN代币。
其中一半EMN,共约691,825,243个EMN代币, 通过OP0步骤用于购买eAAVE代币,共获得约572,431个eAAVE代币。
区块链学者Michael Goldstein:比特币可以防止能源浪费:区块链学者Michael Goldstein发推表示,目前比特币每年消耗的能源约为78TWh,而全世界能源消耗超过14万TWh。并且这14万TWh能源消耗还没有考虑能源生产效率低下的情况。比特币可以防止能源浪费。[2021/1/19 16:29:37]
到当前为止,攻击者共持有1,383,650,487-691,825,243 = 691,825,244个EMN和572,431个eAAVE代币。
接下来攻击者的脚本继续执行了OP0, OP1, OP2, OP3, OP4共5个内部交易(Internal Transactions),该5个内部交易产生的影响如下表:
从OP4售出的DAI总数目为16,673,637,比攻击者通过闪电贷借得的DAI总数目1500万个要多出近170万。造成以上结果的原因是:在OP0使用EMN购买eAAVE的过程中,EminenceCurrency.sol 智能合约第231行中claim函数被调用,随后第233行的_burn函数将用于交易的691,825,243个EMN进行了燃烧:
然而在下图_burn函数的定义中我们可以看到,仅仅只有EMN代币的数目被燃烧掉,而其对应的DAI数目并没有改变。这就造成了一个问题:EMN和DAI的比率由于EMN数目的减少,造成了DAI相对价格的降低,因此采用同样数目的EMN去购买DAI,可以获得的DAI数目更多。
因此,当OP0完成后,EMN数目对DAI数目比率下降。攻击者通过OP1将剩余的一般EMN兑换成DAI,由于此时DAI相对价格低,因此购入的DAI数目相比正常情况多。
完成OP1后,攻击者将持有的eAAVE通过OP2,OP3兑换回EMN,然后兑换到DAI。最终,当进行OP4之前,攻击者持有的DAI数目会高于从Uniswap中借得的数目。
至此,攻击者通过漏洞完成一次获利。
攻击者在同一次交易中重复三次利用了该漏洞。每次到达OP4时,会将获利后总共的DAI再次利用,进行攻击行为。当完成全部三次后,攻击者偿还了Uniswap的借款,将该次交易获利发送至其地址:
0x223034edbe95823c1160c16f26e3000315171ca9
攻击者总计执行了3次交易,交易地址如下:
第一次:
第二次:
0x045b60411af18114f1986957a41296ba2a97ccff75a9b38af818800ea9da0b2a
第三次:
0x4f0f495dbcb58b452f268b9149a418524e43b13b55e780673c10b3b755340317
该事件是一个典型的由于逻辑设计与实际智能合约代码实现不符而造成安全漏洞的案例。而且项目上线前,尚未经过安全审计。对于该种类型漏洞,传统的测试方法与测试工具均无法检查出该种逻辑漏洞。
因此,CertiK提出以下建议:
当前DeFi项目热潮持续不减,很多项目为了抓住热点与机遇,在未经严格测试和审计的情况下便匆忙上线。这些项目中,大部分的漏洞是无法通过常见的测试方法和工具来发现的。只有寻找专业的审计专家进行严谨的数学模型证明,才可以发现该漏洞。
安全审计现在已经是高质量DeFi项目的标配。若项目没有被审计,对于用户来说,投资行为则要格外慎重;对于项目方来说,则需要找专业并且声誉好的审计公司进行审计。若项目被审计过,则需尽量了解审计公司背景以及其审计报告中的各项指标,其中包括但不限于:
安全审计的范围,方法,及结论
合约是否有漏洞或者安全隐患?如果有,需要了解这些问题的严重程度及可能影响
合约整体的代码质量
审计公司的专业性和独立性
标签:AVENCEDANCARDaave币是哪个国家的yfrb.FinanceGREATDANE3X Long Cardano Token
虽然今天全国加班,可以算是工作日,但外围还是没有开盘,市面上显得还是比较平静,无论是行情还是消息面的波动性均不大。 今天比较亮眼的部分还是以太坊的相关消息,根据以太坊开发人员表示,团队将在10月15日之前完成所有ETH2.0相关功能的开发。
区块链曾经被视为技术试验,它现在代表着组织变革的力量。在这一节中调查数据显示了重要情况:39%的全球受访者把区块链融入到生产中的高质量产出仍然是能够继续的。(其中41%的公司收益是超过一亿美金的)比上一年的23%有很大的提高,如图3所示。
跨链项目Cosmos开发公司Tendermint发布官方公告称,将会把约1900万枚ATOM代币委托质押给70个验证节点,以奖励这些ATOM网络的积极贡献者。根据分发细则,Tendermint公司细分了5个委托等级,节点将会根据自己从年初至今为Cosmos做出的贡献度而获得10万、20万、30万、50万或70万枚ATOM。
20分钟带你了解各个NFT项目: Aavegotchi - GHST Whale - WHALE Sandbox - SAND Enjin - ENJ Decentraland - MANA。
摘要: 一份 Spadina 测试网的简单报告 新测试网 Zinken 即将推出。Launchpad?已经启动;创世押金期为一周 用于演练创世活动的 Spadina 测试网在上周二启动。虽然 Spadina 现在已经恢复了健康,正在持续地敲定区块,但启动过程并不像大家预期的那样一帆风顺。
在 9 月 25 日月度合约到期后,以太坊期权市场陷入了停滞。ETH 未平仓合约量也有所下降,表明交易活动整体减少。 期货和期权交易中的“未平仓合约”指的是市场中有效合约的总量。它囊括了买卖双方持有的所有合约的累计数量,衡量的是整体的市场活跃度。
链资讯