北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。
攻擊者鑄造了大量的XFTM代幣,并將其交易為ETH,總損失約為1000ETH。
下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。
https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?
https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?
埃隆馬斯克稱其將成為第一個狗狗幣萬億富翁:金色財經報道,特斯拉首席執行官埃隆馬斯克(Elon Musk)在最近的一條推文中聲稱自己將成為世界上第一個狗狗幣萬億富翁。根據彭博億萬富翁指數,馬斯克的凈資產現已飆升至2490億美元。[2021/10/23 20:50:42]
①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。
②在第一個tx中,攻擊者將Fantom代幣(FTM)換成FSM代幣,并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。
Coinbase Pre-IPO股價在過去一個月內上漲45%:在獲準于納斯達克上市后,Coinbase Pre-IPO股價持續上漲,在過去一個月內上漲45%。此前消息,Coinbase已獲SEC批準將于納斯達克上市,上市計劃已得到高盛花旗等四大集團支持。(Decrypt)[2021/2/27 17:59:16]
③攻擊者調用collect()函數,以此鑄造了超出權限更多的XFTM代幣。
④攻擊者多次重復步驟②和③,造成FantasmFinance巨額損失。
在函數calcMint中,合約使用以下公式來計算鑄幣量:
金標委:加密貨幣與LEI結合將提供一個強大的組合:金色財經報道,2月8日,金標委發布《數字身份、加密貨幣和全球法人識別編碼(LEI)》文章,文章表示,目前的全球金融體系(GFS)需要一種更快速、更安全、更廉價的跨境金融交易替代方案,如瑞波幣等加密貨幣備受國際貨幣基金組織(IMF)和世界經濟論壇(World Economic Forum)關注。加密貨幣系統可以清算外國預投資賬戶中儲備的數萬億資本,同時為經濟提供更廣泛刺激,這正是當前困難時期所需要的經濟刺激。而以匿名為重點的加密貨幣要更為廣泛地被接受,需要監管明確和有效的了解你的客戶(KYC)流程。如比特幣類的加密貨幣不需要提供身份驗證,交易可能是匿名的,交易參與者無法追蹤,這意味著了解你的客戶和反洗錢(AML)流程是不可能的。因此,我們需要一個可驗證的數字身份,以滿足我們的監管要求,加密貨幣與LEI結合將提供一個強大的組合。[2021/2/8 19:11:25]
_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。
聲音 | 律師觀點:章魚娛樂本質上來看是一個集資行為,可能涉嫌 ICO:章魚娛樂團隊此前多次稱自己將打造全球首款“區塊鏈+社交+游戲”。事實是,章魚娛樂團隊的“ 398 元入門費”、“分享下級囤幣利益”“拉人頭獎勵”等玩法正游走于法律邊緣。近日,反金融欺詐普惠 APP 菲凡烽火臺發布調查簡報稱,章魚娛樂的運用模式已經涉嫌傳銷。律師郭亞濤認為,當前章魚娛樂的運作模式,從本質上來看是一個集資行為,可能涉嫌 ICO :“游戲幣不能和人民幣進行雙向兌換,用游戲幣換人民幣,是在變相地讓游戲幣和人民幣掛鉤,實際上還是一個集資行為。”(星球日報)[2019/1/31]
由于小數點錯誤,導致_xftmOut最終的值遠遠大于代碼的設計初衷。
寫在最后
本次事件主要是由合約公式計算錯誤引起的。
只需通過適當的同行評審、單元測試和安全審計,這一類型的風險往往極易避免。
在加密世界里大家一提到漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。有時一個小小的計算錯誤,就可以導致數百上千萬美元的資產一朝蒸發。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
近期攻擊事件高發,加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。
除此之外,技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
參考鏈接:
1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1
2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1
3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b
4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home
5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis
6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home
7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home
根據Polygon(MATIC)團隊消息,由於PolygonPoS鏈使用的Tendermint實現的問題,已經從5:50PMUTC開始進行維護.
1900/1/1 0:00:001Hydraverse(HDV)TokenSaleResultTheGate.ioStartupHydraverse(HDV)saleresultisasfollows:HDVStartupSa.
1900/1/1 0:00:00Greatnews! Gate.ioPodcasthasanewepisodeonBitcoin&CryptoNews.
1900/1/1 0:00:00尊敬的用戶:? BKEXGlobal將于2022年3月17日15:00于SeedIncubatorPro開啟九折搶購GMT三倍多空ETP產品福利活動.
1900/1/1 0:00:00尊敬的用戶:根據BFT官方通知,BFT節點將進行升級維護。Hotcoin現已暫停BFT的充值、提現業務,交易不受影響。待節點維護完成後恢復充值、提現業務,具體恢復時間將以公告另行通知.
1900/1/1 0:00:00HopExchange介紹HopExchange是一個基于HopProtocol開發的,允許用戶在Layer2、側鏈和Layer1之間直接、快速、輕松地轉移代幣的跨鏈橋.
1900/1/1 0:00:00