HTT:一個小數點造成數百萬美元蒸發，Fantasm Finance攻擊事件分析-ODAILY_soccer幣是什么幣

北京時間2022年3月9日21:50，CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣，并將其交易為ETH，總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

交易哈希

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac

數據：最后活躍7-10年的ETH供應量達到一個月低點:金色財經報道，據Glassnode數據顯示，最后活躍7-10年的ETH供應量剛剛達到3,243,878.684 ETH的一個月低點。[2023/1/11 11:06:39]

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9

攻擊步驟

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

美國眾議院發布議案，計劃設立一個區塊鏈勞動力職業培訓信托基金:金色財經報道，美國科技行業倡導者周三在勞工和勞動力發展聯合委員會聽證會上作證，以表明他們支持旨在提升區塊鏈技術教育和培訓計劃的立法 (H 4922)。

眾議院議案由 Pembroke 的眾議員 Josh Cutler 和 Melrose 的 Kate Lipper-Garabedian 提出，將設立一個區塊鏈勞動力職業培訓信托基金。該基金將為雇主、勞動力發展實體、職業技術學校和高等教育機構提供資助，以開發和擴大區塊鏈培訓機會，并為尋求該行業職業的個人贊助獎學金和帶薪實習計劃。除了支持該領域的個人、教育機構和雇主外，眾議院法案還希望為地區就業委員會提供撥款，以制定支持區塊鏈的地區戰略。

根據該法案，區塊鏈勞動力職業培訓信托基金的資金將來自立法撥款和其他“公共和私人來源”。[2022/9/22 7:13:49]

②在第一個tx中，攻擊者將Fantom代幣(FTM)換成FSM代幣，并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

聲音 | 澳本聰：無法忍受阿桑奇那樣的人，比特幣從來就不是一個密碼朋克實驗:據ethereumworldnews消息，6月6日，澳本聰發文稱：“比特幣從來就不是一個密碼朋克實驗。我在90年代脫離了密碼朋克郵件列表，因為我無法忍受像朱利安·阿桑奇（Julian Assange）那樣的人。我無法忍受那里的一些人所代表的立場和觀點。我和密碼朋克郵件列表上的許多人正好相反。即使是那些我喜歡的人，比如Tim May，也持有一些我無法忍受的觀點。” 值得一提的是，盡管澳本聰不支持這些人，但密碼朋克在其宣言中呈現的哲學理念不僅與比特幣白皮書中解釋的理念非常相似，而且與中本聰在比特幣早期的思考方式也非常相似。[2019/6/9]

③攻擊者調用collect()函數，以此鑄造了超出權限更多的XFTM代幣。

聲音 |前美聯儲主席：比特幣不是一個有用的價值存儲方式:據cointelegraph報道，美國聯邦儲備委員會前主席Janet Yellen表示，比特幣不是一個穩定的價值來源，而且它不是處理支付的有效手段，它處理付款的速度很慢，因為它非常去中心化。[2018/10/30]

④攻擊者多次重復步驟②和③，造成FantasmFinance巨額損失。

漏洞分析

在函數calcMint中，合約使用以下公式來計算鑄幣量：

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小數點錯誤，導致_xftmOut最終的值遠遠大于代碼的設計初衷。

資金去向

攻擊者可因此獲取大約1000個ETH，所有的資金均被轉移至Etherscan并被發送到tornadoproxy。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計，這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞，往往會認為漏洞必然是很復雜的，其實并非總是如此。有時一個小小的計算錯誤，就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

參考鏈接：

1.https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags：CERTPSHTTCERTsoccer幣是什么幣tps幣圈HTT幣CERT立方根

BTC