SDC:又現套利攻擊：Goldfinch項目的SeniorPool合約遭受攻擊事件分析_usdc幣最新消息

又現套利攻擊！—Goldfinch項目的SeniorPool合約遭受攻擊事件分析

2022-06-2816:55:30

2022年6月28日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Goldfinch項目的SeniorPool合約遭受攻擊，攻擊者累計獲利金額為28,523個USDC，項目方累計損失541,158個USDC。成都鏈安安全團隊對此事件進行了分析，現與大家分享。

比特幣 NFT 市場 Gamma.io 宣布推出比特幣 ordinals 市場:3月21日消息，比特幣生態 NFT 市場 Gamma.io 宣布推出比特幣 ordinals 市場，支持用戶輕松在比特幣上創建和交易 ordinal inscriptions。據悉，Gamma 由 L1 上的 ordinals 協議和 L2 上的 Stacks 提供支持。[2023/3/21 13:16:14]

#攻擊過程

攻擊交易地址：

0xd56d801e07df9d8457973c3938f5d3e6343ec1ed11f4ebb76bc3f5cc73001707

分析師稱杜克能源公司正在研究應用于需求響應的比特幣挖礦:金色財經報道，杜克能源公司的監管策略分析師表示，這家美國第二大能源公司目前正在研究比特幣挖礦。首席分析師Justin Orkney表示，一項比特幣需求響應(DR)研究正在進行中，能源公司與杜克大學DR項目中的比特幣礦工合作。

在采訪中，奧克尼強調，杜克能源(紐約證券交易所代碼:DUK)的一些客戶是比特幣礦工。奧克尼向節目主持人解釋說:“我們的系統中確實有現有客戶。他們自愿加入我們的需求響應項目。其中包括基本同意在一年中的特定時段，即我們舉行活動的時候，減少使用。

除了杜克能源公司，報告顯示，埃克森美孚（紐約證券交易所代碼：XOM）、Equinor、La Geo和康菲石油等能源和天然氣巨頭也在能源行業探索比特幣挖礦解決方案。（news.bitcoin）[2022/7/5 1:50:55]

攻擊者地址：

數據：6月份加密投資產品AUM創歷史新低:金色財經報道，根據Cryptocompare最新數據顯示，加密投資產品資產管理規模（AUM）在2022年6月創下歷史新低，數據顯示，加密交易所交易基金(ETF)的跌幅最大，資產管理規模下降52.0%至13.1億美元。另一方面，占市場80.3%的信托產品當月下跌35.8%至173億美元。交易所交易商品(ETC)和交易所交易票據(ETN)分別下跌36.7%和30.6%至13.4億美元和16.1億美元。

Cryptocompare表示，所有四種產品類型均創歷史新低，信托產品的資產管理規模創下2020年12月以來的最低水平，而ETC的資產管理規模達到2020年10月以來的最低水平。ETN和ETF緊隨其后，分別創下2021年1月和2021年4月以來的最低資產管理規模。（bitcoin.com）[2022/7/2 1:46:38]

0x86c595d81c8ab46d893065c3c674da72555fe7c0

攻擊者合約：

0x541143d5eb30563a478eea23866e203b7c38c1ca

本次攻擊存在多筆，我們選取了具體的一筆攻擊交易進行分析：

1.?第一步：攻擊者通過UniswapV3的DAI-USDC池子閃電貸借出110,000個USDC代幣。

2.?第二步攻擊者再把110,000個USDC代幣從Curve的FIDU-USDC池子兌換出106,667個FIDU代幣。

3.?第三步攻擊者利用SeniorPool合約的withdrawInFidu函數，把106,667個FIDU代幣兌換成113,853個USDC，然后歸還閃電貸110,011個USDC，剩余本次攻擊獲利的3,842個USDC。

漏洞原因為：攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣，來獲取SeniorPool合約抵押USDC代幣的紅利。

目前Curve中FIDU兌換USDC為1:1.03,而在SeniorPool中的比例為1:1.07，這就產生了套利空間。

圖1?Curve中FIDU兌換USDC的比例

圖2?SeniorPool合約中FIDU兌換USDC的比例

下面是具體的代碼實現：

攻擊者利用withdrawInFidu函數銷毀FIDU代幣換取USDC。而可獲取USDC的數量是通過_getUSDCAmountFromShares函數中的sharePrice去計算的。這里的sharePrice會隨著分紅的增加而增加，攻擊者就可以利用Curve的FIDU-USDC池子獲取FIDU代幣，從而獲取SeniorPool合約抵押FIDU代幣的紅利。

總結

針對本次事件，成都鏈安安全團隊建議：

項目方使用新的代幣代替FIDU代幣為憑據代幣，并確保其他途徑無法獲取該憑據代幣。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

來源：金色財經

Tags：USDCSDCUSDFIDusdc幣是什么幣usdc幣最新消息doge幣怎么換成usdtDefiDollar DAO

火必