北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。
攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。
下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。
交易哈希
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac
DOGE联创:Binance和Tether中只要有一个崩溃,加密游戏就将结束:金色财经报道,狗狗币 DOGE 联合创始人 Billy Markus(社交媒体名称 Shibetoshi Nakamoto)表示,Binance和Tether中只要有一个崩溃,加密游戏就将结束。他总结称,越多越多人意识到,过度中心化是一个“大弱点,而且当人们购买的时候就已经是这样了” 。(cryptopotato)[2022/11/20 22:09:22]
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9
攻击步骤
周小川:一个竞争性、多方案的央行数字货币体系更适合中国:11月27日,在北大数字金融研究中心举办的“数字金融创新与经济发展新格局”活动上,周小川进一步厘清了中国央行数字货币(DC/EP)、数字人民币(e-CNY)以及全球央行数字货币(CBDC)之间的关系。周小川表示,DC/EP是一个双层的研发与试点项目计划,并非一个支付产品。DC/EP项目计划里可能包含着若干种可以尝试并推广的支付产品,这些产品最后被命名为e-CNY,即数字人民币。此外,DC/EP与CBDC的开发思路并不相同。比如,在CBDC的设想中,货币所有权和负债责任都归央行,而在DC/EP中,第二层商业机构实际上拥有e-CNY的所有权以及可支付的保证。[2020/12/1 22:46:46]
①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。
Chainalysis:2020年BTC暴涨是加密货币市场成熟的一个标志:11月20日,加密分析公司Chainalysis发推称,数据表明2020年比特币大涨,更多是由首次购买比特币的买家,以及希望将法币换成比特币以对冲宏观经济趋势的机构买家推动的。2020年比特币大涨是加密货币市场成熟的一个标志。Chainalysis分析称,2017年比特币的多数需求来自散户,而2020年是机构开始涌入比特币,而机构的涌入则似乎是由对冲宏观经济不确定性所推动。与2017年相比,在比特币价格超过1万美元的情况下,2020年交易所价值100万美元或以上的转账数量增长了19%。与此同时,2020年主要为北美服务的交易所大量涌入市场,因为推动当前比特币飙升的机构投资者(主要位于北美和欧洲)出于易用性和监管等原因,更有可能选择北美交易所购买比特币。[2020/11/20 21:25:57]
②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。
声音 | 分析师:加密货币总市值的下一个高峰或将达11万亿美元:据Bitcoinist 12月22日消息,加密货币分析师Benjamin Cowen根据过去10年的数据,对整个比特币和加密市场进行对数规模的分析,结果显示,随着数字资产市场的成熟,从高峰到高峰的时间也越来越长,下一个高峰可能在11万亿美元,尽管尚不确定2023年是否会是该高峰发展的一年。根据分析,目前,市场正在走低,下一次反弹可能需要一段时间。每一次从下到上的投资回报率也会越来越低。此外,他表示,比特币的主导地位可能会跌至低点,并在山寨币泡沫后恢复。[2019/12/23]
③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。
④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。
漏洞分析
在函数calcMint中,合约使用以下公式来计算铸币量:
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。
资金去向
攻击者可因此获取大约1000个ETH,所有的资金均被转移至Etherscan并被发送到tornadoproxy。
写在最后
本次事件主要是由合约公式计算错误引起的。
只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。
在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。
除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
参考链接:
1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。