USD:OUSD遭“經典重入攻擊”，損失770萬美元，DeFi安全亟待解決_SDT

近日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊存入Origin智能合約來鑄造OUSD穩定幣，之后該協議會將基礎穩定幣投資于多個DeFi協議并進行收益耕作，為OUSD持有者賺取回報。重入攻擊重現憑空創造2050萬枚OUSD

PeckShield通過追蹤和分析發現，首先，攻擊者從dYdX閃電貸貸出70,000枚ETH；隨后，在UniswapV2中先將17,500枚ETH轉換為785萬枚USDT，再將所貸剩余的52,500枚ETH轉換為2099萬枚DAI；接下來，攻擊者分四次鑄造OUSD穩定幣：第一次通過mint()函數鑄造OUSD時，攻擊者確實在Origin智能合約中存放了750萬枚USDT，并獲得750萬枚OUSD；第二次通過mintMultiple()多種穩定幣函數鑄造OUSD時，攻擊者在Origin智能合約中存放了2050萬枚DAI和0枚假“穩定幣”，并在此步驟中通過重入攻擊來攻擊合約。攻擊者將2050萬枚DAI和0枚假“穩定幣”存入VaultCore中，此時智能合約收到2050萬枚DAI，在嘗試接收0枚假“穩定幣”時，攻擊者利用惡意合約進行劫持，在智能合約正常啟動鑄造2050萬枚OUSD之前，調用mint()函數，先惡意增發了2050萬枚OUSD，此次惡意增發由VaultCore合約調用rebase()函數實施。

YouSwap將于5月18日18:00新增HDX/YOU流動性挖礦:據最新消息，YouSwap將于5月18日18:00（UTC+8）于HECO鏈聯盟區新增開啟HDX/YOU流動性挖礦?，用戶可以通過質押以上幣對的LP來挖礦YOU。

截至5月18日10:00，YouSwap累計交易總額達37,595,099USDT，YOU總銷毀數量達188,012，累計挖礦總產值1,695,909USDT。[2021/5/18 22:13:56]

YouSwap于4月10日上線ETH/HECO跨鏈橋:據YouSwap最新消息，平臺將于4月10日12:00上線ETH/HECO跨鏈橋兌換功能，并將在下午18:00開啟HECO頭礦，具體時間以官網為準。

去中心化交易所YouSwap于3月26日，正式上線并開啟流動性挖礦，第一條公鏈搭建在以太坊網絡上，第二條公鏈HECO將于4月10日上線。并同時開啟“From ETH to HECO”的跨鏈橋兌換功能，用戶可以通過跨鏈橋功能實現資產從ETH主網到火幣主鏈HECO的跨鏈轉換。目前YouSwap支持YOU/USDT、BTC/USDT、ETH/USDT、YOU/UNI、YOU/LINK、YOU/ETH6個交易對的流動性挖礦及YOU的單幣挖礦。截至4月6日15時，平臺挖礦產出市值總計275758.24（USDT），累積交易總額達1481810.11（USDT），YOU 價格報$0.56，漲幅達1120%。[2021/4/6 19:50:16]

值得注意的是，為順利實施劫持，攻擊者在上述mint()函數調用時，真金白銀地存入了2,000枚USDT，同時獲得第三次鑄幣2,000枚OUSD。隨后，調用oUSD.mint()函數第四次鑄造2050萬枚OUSD。

YouSwap將于4月2日上線YOU單幣礦池并開啟挖礦:據YouSwap最新消息，平臺將于4月2日15時左右根據區塊高度上線YOU單幣礦池并開啟單幣挖礦。

據悉去中心化交易所YouSwap于3月26日，正式上線并開啟流動性挖礦，第一條公鏈搭建在以太坊網絡上。目前YouSwap流動性挖礦支持YOU/USDT、BTC/USDT、ETH/USDT、YOU/UNI、YOU/LINK、YOU/ETH6個交易對，截至4月2日10時，平臺當前流動性1973387.12（USDT），挖礦產出市值總計169810.24（USDT），YOU最高達$0.67，累計漲幅1340%。[2021/4/2 19:39:44]

rebase指代幣供應量彈性調整過程，即對代幣供應量進行“重新設定”。在DeFi領域有一類代幣擁有彈性供應量機制，即每個代幣持有用戶的錢包余額和代幣總量會根據此代幣價格的變化而等比例變動。此時，攻擊者共獲得2800.2萬枚OUSD，包括抵押的750萬枚USDT、2050萬枚DAI和2000枚USDT。由于調用rebase()函數，攻擊者所獲得的OUSD總計上漲至33,269,000枚。最后，攻擊者先用所獲得的33,269,000枚OUSD贖回1950萬枚DAI、940萬枚USDT、390萬枚USDC；再在Uniswap中將1045萬枚USDT兌換為22,898枚ETH，將390萬枚USDC兌換為8,305枚ETH，將190萬枚DAI兌換為47,976枚ETH，共計79,179枚ETH，并將其中70,000枚ETH歸還到dYdX閃電貸中。據PeckShield統計，攻擊者在此次攻擊中共計獲利11,809枚ETH和2,249,821枚DAI，合計770萬美元。對于次攻擊事件，OriginProtocol官方回應稱，正在積極采取措施，以期收回資金。隨著DeFi生態的蓬勃發展，其中隱藏的安全問題也逐漸凸顯，由于DeFi相關項目與用戶資產緊密相連，其安全問題亟待解決。對此，PeckShield相關負責人表示：“此類重入攻擊的發生主要是由于合約沒有對用戶存儲的Token進行白名單校驗。DeFi是由多個智能合約和應用所組成的’積木組合’，其整體安全性環環相扣，平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查，還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。”

Tags：USDYOUUSDTSDTledger錢包支持usdt么Young Boys Fan Tokenusdt幣圈比特幣價格今日行情usdt

Gate交易所