CER:一个小数点造成数百万美元蒸发,Fantasm Finance攻击事件分析

北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

Coinbase首席法律官:欢迎SEC就加密货币监管展开对话:金色财经报道,针对美SEC主席Gary Gensler周四在其首次公开听证会上发表的讲话,加密货币交易所Coinbase首席法律官Paul Grewal在推特表示:“我们欢迎诸如此类的关于如何正确执行加密监管的对话。事实上,我们欢迎有任何机会分享我们自己的经验,包括哪些适用于消费者、用户和执法部门,哪些没用。”此前消息,Gary Gensler建议国会为加密交易所制定投资者保护措施。[2021/5/8 21:36:22]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

火币论坛对话汪弘彬:从技术层面来说,区块链将在金融领域发挥领先作用:新加坡时间12月30日下午,欧洲货币机构投资者集团大中华区CEO汪弘彬做客火币论坛,以“回顾与展望,从疫情到复苏”为主题,与火币商务副总裁Ciara探讨在疫情的持续影响下,企业该如何进行数字化转型。

汪弘彬认为,疫情推动了数字浪潮的发展,从技术层面来说,区块链和加密货币行业将在金融领域发挥领先作用,并且会迅速成长为不同于大数据、人工智能和物联网的另一种新技术,未来势必会有很大的发展空间。比特币在2020年表现突出。但如果比特币要成长为更成熟的资产类别的话,必须要经历一系列的周期,比特币至今还没有一个完整的周期。成熟的机构投资者要了解这一点,然后再进入这个市场。

“据我个人观察,比特币的资产类别变得愈来愈清晰了,这会吸引越来越多的机构进入这个市场,但我们还是要从宏观角度来看比特币整体周期的发展。但从长远来看,我对这类资产很乐观。”汪弘彬最后总结道。[2020/12/31 16:08:51]

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

币信对话超级君:DeFi是钱平权:9月7日,在币信直播间进行的DeFi直播里,超级君表示:“DeFi和之前的ICO不一样,ICO里各个用户的钱是不平等的,钱多的人在初期有低价投资的权利,散户只能之后高价接盘。但是DeFi是钱平权,你的1块钱和大户的1块钱是一样的,挖到的矿是同样的,打破了中间层。DeFi市场里只有信息的不对等,但是这个不对等努力是可以实现的。不过协议很美,泡沫很大。”[2020/9/8]

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。

ChainUP斥资1000万打造下一个合约交易所独角兽:5月6日,ChainUP发起合约交易所“黑马计划”,1000万打造下一个合约交易所独角兽。

自2020年以来,现货交易市场远不如衍生品市场火爆,ChainUP旨在通过此次活动,免费提供合约交易系统、ETF交易系统、OTC交易系统和经纪人等功能,寻找有潜力的项目方、流量主和社群主等,助其零成本开启合约交易所,布局衍生品市场,打造合约交易所独角兽。

如果你拥有资深的运营团队和市场推广能力,有一定的社群管理经验或自带社群,并且想在交易所市场中占领一席之地,ChainUP黑马计划为你量身打造。详情点击原文链接。[2020/5/6]

在函数calcMint中,合约使用以下公式来计算铸币量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-4:446ms