Fairyproof：LP价格采用加权平均无法有效预防闪电贷

3月22日消息，Fantom上部署的DeFi应用OneRing Finance遭到攻击。本次攻击黑客的地址为Fantom上的0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e。黑客借助部署在0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58上的攻击合约发起了本次攻击。由于该合约在特定区块会自行注销，这使得外界难以追踪OneRing上具体哪个函数被调用从而引发了本次攻击。

在攻击中黑客首先利用Celer Network的cBridge通过跨链获得了发起攻击的GAS。接下来在部署上述攻击合约后的15分钟，通过闪电贷向Solidly借到80,000,000USDC，通过推高LP价格，改变了OShare代币的价格，从协议获取大量OShare代币，掏空了OneRing的资产。黑客最终将盗取的资金从Fantom跨链转回到以太坊并最终通过Tornado.Cash套现。

在本次攻击中，Fairyproof发现该协议计算LP价格的方式不合适，本协议使用的计算方式使得LP价格是瞬时价格，因此极易被操纵。

其它快讯：

Fairyproof：V神的EIP-4844提案中两个内存池问题需得到解决:3月29日消息，Fairyproof今日发布关于V神提出的EIP-4844提案研究报告，报告称，此EIP在以太坊客户端和汇总解决方案的实施中引入了重大变化，虽然可能不会引入明显的漏洞，但是新引入的blob交易可能会导致两种内存池问题。第一个是blob交易具有可变的内在GAS成本，这会使内存池受到攻击，因为交易可能有资格被包含在一个区块中，但可能没有资格被包含在下一个区块中。为防止此类攻击，该EIP建议仅广播“gas至少为当前最小值的两倍”的交易，以大大增加合法交易被包含在区块中的机会。第二个是blob交易在内存池层具有较大的数据量，这会使内存池暴露于DoS攻击。该EIP建议将“mempool替换的最小增量从1.1倍增加到2倍”以增加攻击者的成本，从而减少其攻击尝试。就安全性而言，开发人员必须在代码中解决这些问题。此外，报告称，用户应该注意，这两项建议是为了应对对内存池的攻击，如果它们被实施，则意味着如果非恶意用户希望交易得到及时处理，需要支付符合这些建议的Gas费用。此前消息，以太坊V神提出新的分片建议：EIP-4844。[2022/3/29 14:24:34]

Coinbase将收购受到美国CFTC监管的衍生品交易所FairX:1月13日消息，Coinbase在博客宣布正在收购加密衍生品交易所FairX，据称FairX受美国商品期货委员会（CFTC）监管。Coinbase表示，此次收购是其向美国零售和机构客户提供加密衍生品的关键一步。Coinbase称，此次收购完成后，计划先为FairX现有的合作伙伴生态系统提供衍生品交易功能，之后再利用FairX的基础设施向美国所有Coinbase客户提供加密衍生品。据悉，收购预计在今年第一财政季度完成。（Coinbase）[2022/1/13 8:45:50]

动态 | 以太坊网站被大量使用 FairWin合同具有严重风险:据以太坊国际新闻消息，最近几周，Ethereum网站被大量使用，以至于ETH的矿商决定将区块的容量提高25%来允许更多的交易发生。调查显示，一份名为“FairWin”的有问题的智能合同受到了广泛的欢迎，消耗了以太坊所有天然气的50%。区块链游戏工作室Horizo??n Games的研发人员Philippe Castonguay最近在Twitter上写道，FairWin合同具有“严重风险，使所有资金都处于风险中”，然后要求其追随者传播这一知识。[2019/9/29]

相关资讯