時隔一月,Fantom 平台DEUS 協議再次遭受攻擊,損失超1000 萬美元。前言
北京時間4 月28 日,Fantom 平台DEUS 協議又一次遭到攻擊,損失約1340 萬美元,知道創宇區塊鏈安全實驗室第一時間跟踪本次事件並分析。
分析
基礎信息
攻擊tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
攻擊合約:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
攻擊者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
攻擊流程
1、從StableV1 AMM 多個包含USDC 的交易對中,閃電貸共借出143,200,000 USDC;
2、143,200,000 USDC 兌換為9,547,716 DEI,抬高了交易對中DEI 的價格;
3、71,436 DEI 作為抵押品,借出17,246,885 DEI;
4、9,547,716 DEI 兌換回143,184,725 USDC,USDC/DEI 交易對價格回復正常;
5、歸還閃電貸。
漏洞原理
問題根源在於Oracle 餵價合約中,價格計算取決於交易對的餘額數量,容易通過閃電貸操縱
總結
此次攻擊事件的核心在於用於餵價的預言機合約的定價機制存在缺陷,僅通過交易對的代幣餘額計算而來,容易被閃電貸操縱。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
展開全文打開碳鏈價值APP 查看更多精彩資訊