创宇区块链|重蹈覆辙?为何 DEUS 协议再受攻击?

知道创宇区块链安全实验室
企业专栏
热度: 12462

时隔一月,Fantom 平台 DEUS 协议再次遭受攻击,损失超 1000 万美元。

前 言

北京时间 4 月 28 日,Fantom 平台 DEUS 协议又一次遭到攻击,损失约 1340 万美元,知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。


分 析

基础信息

攻击tx:0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

攻击合约:0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C

攻击者:0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb

攻击流程

1、从 StableV1 AMM 多个包含 USDC 的交易对中,闪电贷共借出 143,200,000 USDC;

2、143,200,000 USDC 兑换为 9,547,716 DEI,抬高了交易对中 DEI 的价格;

3、71,436 DEI 作为抵押品,借出 17,246,885 DEI;

4、9,547,716 DEI 兑换回 143,184,725 USDC,USDC/DEI 交易对价格回复正常;

5、归还闪电贷。

漏洞原理

问题根源在于 Oracle 喂价合约中,价格计算取决于交易对的余额数量,容易通过闪电贷操纵



合约


总 结

此次攻击事件的核心在于用于喂价的预言机合约的定价机制存在缺陷,仅通过交易对的代币余额计算而来,容易被闪电贷操纵。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。


声明:本文为入驻“MarsBit 专栏”作者作品,不代表MarsBit官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况,及遵守所在国家和地区的相关法律法规。