前言
北京时间4月28日,Fantom平台DEUS协议又一次遭到攻击,损失约1340万美元,知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5
AAX副总裁:已从AAX离职,品牌不复存在信任也不复存在:金色财经报道,加密交易所AAX副总裁Ben Caselin在社交媒体表示,自己已经从AAX离职,他提到:“我确实为社区而战,但我们提出的倡议都没有被接受,我已经无能为力。仍然相信事情会在没有恶意的情况下得到处理,但损害已经造成。品牌不复存在,信任也不复存在。”
此前消息,AAX近日已隐藏或删除其YouTube等社交账号,平台已超过15天无法取款,有社区成员恐慌项目方已跑路。[2022/11/28 21:07:10]
攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C
AAX:有机会在未来几周内获得足够的资金并恢复正常运营:金色财经报道,加密货币交易所AAX发布公告称,在过去的一周内会见50多名投资者,其中部分进入谈判阶段,乐观估计AAX有机会在未来几周内获得足够的资金并恢复正常运营。AAX表示将于北京时间11月22日0:00关闭衍生品合约交易并利用币安上的价格清算所有期货头寸。
据此前报道,AAX表示正进行融资以恢复服务,如果融资失败将启动法律程序以确保资产的分配。(CoinDesk)[2022/11/21 7:51:38]
攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb
AAX平台币AAB抢购第五轮预约人数已达923人:据AAX官网数据,截止9月22日18时,AAX平台币AAB抢购第五轮活动预约人数已达923人。AAB限时返场抢购活动,限额500人参与,每人限量1000枚AAB,其中一半用户250人将获得免单。活动将于9月23日20:00开启,详情请点击原文链接。[2020/9/22]
攻击流程
1、从StableV1AMM多个包含USDC的交易对中,闪电贷共借出143,200,000USDC;
2、143,200,000USDC兑换为9,547,716DEI,抬高了交易对中DEI的价格;
3、71,436DEI作为抵押品,借出17,246,885DEI;
4、9,547,716DEI兑换回143,184,725USDC,USDC/DEI交易对价格回复正常;
5、归还闪电贷。
漏洞原理
问题根源在于Oracle喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵
总结
此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。