前言
11月3日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊,損失超300萬美元。
知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。
攻擊流程簡析
攻擊分為兩部分:
第一部分:攻擊階段
交易哈希:0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c51.攻擊者向pool添加(VUSD對USDC為無窮大)的0.1USDC流動性
Lido官網已不再展示Polkadot和Kusama質押信息:4月9日消息,Lido官網已不再提供Polkadot和Kusama質押信息展示,當前僅提供以太坊(ETH)、Polygon和Solana質押信息。數據顯示,截至目前Lido以太坊質押總額已突破110億美元(5,928,918 ETH),創歷史新高。
據此前報道,Lido Finance擬于今年八月停止Polkadot和Kusama生態系統流動性抵押。[2023/4/9 13:52:57]
觀點:加密資本市場基本回到2014年之前,初創公司不再有機會與銀行合作:金色財經報道,The Block 新聞總編Frank Chaparro發推稱,加密友好銀行Signature Bank被關閉,加密資本市場基本回到 2014 年之前,任何新成立的公司都沒有機會與銀行建立關系。在許多方面,加密貨幣已經成為正式的無銀行業務。[2023/3/13 12:59:46]
Animoca Brands 區塊鏈顧問:鏈游讓資產不再局限于發行商集中控制的單一“圍墻花園”游戲中:金色財經報道,8月4日,Animoca Brands 區塊鏈顧問Jeron Chan做客金色財經舉辦的“GameFi-DeFi+NFT 如何打破壁壘重塑鏈游價值”為主題的金色沙龍第68期活動。
Jeron Chan表示傳統游戲和鏈游的主要區別在于,鏈游中的物品可以是 NFT,這意味著它們可以實現真正的數字資產權。這些資產真正歸玩家所有,玩家可以相應地從中受益。除此之外,這有助于糾正游戲發行商(擁有一切)和游戲玩家(僅出租游戲、內容和體驗)之間不成比例的權力失衡。有了鏈游,資產不再局限于發行商集中控制的單一“圍墻花園”游戲;游戲玩家可以將他們的鏈游資產NFT用于任何其他支持的游戲或者只是將它們保存在自己的收藏中。鏈游開發商和發行商的收入模式是通過直接銷售游戲物品以及玩家交易游戲物品時收取的傭金來賺取收入。[2021/8/4 1:33:55]
2.攻擊者通過Swap用232kUSDC兌換走pool內正常的222kVUSD流動性
聲音 | 趙長鵬:下一個“山寨幣季節”項目將不再只有白皮書 行業現在已更健康:幣安CEO趙長鵬今日發布推特稱,2017年的“山寨幣季節”和下一個“山寨幣季節”的不同之處在于,新的“山寨幣季節”將不再只有白皮書。下一個“山寨幣季節”項目將擁有產品和用戶。雖然它們仍是高風險投資,但該行業現在健康得多。[2019/7/31]
第二部分:套利階段
交易哈希:0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf80921.通過Swap將222kVUSD兌換為2205MMfVUSD
2.將2205MM抵押置換成其他pool基礎代幣
攻擊原理分析
1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?
解決這個問題首先我們要知道UniswapV3使用的預言機為TWAP類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在TWAP獲取價格的時間周期中。
所以在黑客已經完成攻擊后,他并沒有基于兌換手中的VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段10塊高后。
攻擊交易哈希:
套利交易哈希:
2.至于添加流動性和兌換流動性得到解釋在UniswapV3中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。
因此添加過高的流動性可以讓TWAP發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓TWAP發現前一步驟以及套利。
總結
本次安全事件的主角雖然是\nVesperFiFianance,但是更讓人關心的是UniswapV3的TWAP預言機是否依然安全,可以觀察到并非TWAP\n預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許\npool內單個代幣不合理的流動性被設置。
知道創宇區塊鏈安全實驗室在此提醒,任何有關資金問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
前幾天由于不確定的消息和不確定的因素引得市場動蕩不安,而近兩天當消息差不多確定之后,行情也開始如愿反彈,市場情緒也逐漸穩定,今天我們主要討論兩個問題,昨晚的美聯儲會議和近期傳言甚廣的SEC監管.
1900/1/1 0:00:00在BanklessDAO,我們經常將區塊鏈技術稱為金融革命,因為智能合約創建了無需信任、無需許可的系統。但是第一個詞,不信任,真正意味著什么?首先,必須知道不信任并不是不值得信任的同義詞.
1900/1/1 0:00:0012月7日晚上8點,Odaily星球日報邀請到了PORTALCo-FounderGeorgeBurke&B21CapitalPartnerHanson為我們帶來分享:Portal|Lay.
1900/1/1 0:00:00美國機構發布了一份關于穩定幣的報告,指出了消費者應注意的潛在風險,并提出了相應的建議。這些機構的工作人員咨詢了主要的市場參與者、貿易協會成員、專家和倡導者.
1900/1/1 0:00:00撰文:Footprint分析師Sabrina 日期:2021年11月 數據來源:DashboardofCeloNetwork11月10日晚間.
1900/1/1 0:00:00官方消息,去中心化NFT多鏈交易平臺Element在推特上發布了“你推薦,我買單”的NFT打新資產推薦活動,用戶將自己心儀的NFT打新資產在社區進行分享,收獲最多互動的用戶將成為最終贏家.
1900/1/1 0:00:00