慢雾安全团队对今日DEUSFinanceDAO遭受的闪电贷攻击原理进行了分析:1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
DeFi保险协议InsurAce称其将向受UST事件影响的索赔人支付总计1100万美元的赔偿金:5月26日消息,DeFi保险协议InsurAce表示,它完全有权利将受UST脱锚事件影响的人们的索赔期限从15天缩短到7天,但补充说,它已经处理了几乎所有173份提交的索赔,并将支付1100万美元。InsurAce称:“我们认为,为了那些赔钱的人和必须支付索赔的利益相关者,拖延这个过程是没有意义的。”
此举在加密社区引起了争议,其中一些人怀疑InsurAce试图减少其必须支付的索赔金额。
据悉,InsurAce平台从2021年7月份开始,对Terra生态提供保险支持,包括针对Anchor, Mirror等DeFi协议的智能合约保险,以及UST的稳定币脱锚保险。InsurAce Protocol此前针对在该平台购买UST脱锚保险产品的用户推出详细理赔方案,保险理赔触发点为UST的10日均价跌破0.88 USD。(Cointelegraph)[2022/5/26 3:42:52]
本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考AlphaFinance关于获取公平LP价格的方法。
此前消息,DEUSFinance遭到闪电贷攻击,损失约1700万美元,攻击者钱包已将5446枚ETH分批转入TornadoCash。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。