10月19日消息,據Beosin EagleEye Web3安全預警與監控平台監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。 Beosin安全團隊第一時間對事件進行了分析,結果如下: 第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO). 第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可藉出價值b的CELO。第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之後,Moo對應CELO的價格變高。第四步:由於抵押借貸合約在藉出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,並未達到價值b,所以用戶可以繼續借出CELO。通過不斷重複這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。本次遭受攻擊的抵押借貸實現合約並未開源,根據攻擊特徵可以猜測攻擊屬於價格操縱攻擊。截止發文時,通過Beosin Trace追踪發現攻擊者將約93.1%的所得資金返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。