CER:一個小數點造成數百萬美元蒸發，Fantasm Finance攻擊事件分析_HTT

北京時間2022年3月9日21:50，CertiK安全專家團隊檢測到FantasmFinance抵押池被惡意利用。

攻擊者鑄造了大量的XFTM代幣，并將其交易為ETH，總損失約為1000ETH。

下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

過去一個月交易所賬戶中的ETH增加77.2％:金色財經報道，LongHash今日發推文稱，隨著ETH的價格超過1000美元，過去一個月在交易所賬戶中存放的ETH增加了77.2％，而交易所中的比特幣存款僅增加了19.6％。[2021/1/6 16:30:49]

①攻擊者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一個未經驗證的合約。

②在第一個tx中，攻擊者將Fantom代幣(FTM)換成FSM代幣，并在合約0x880672ab1d46d987e5d663fc7476cd8df3c9f937中調用mint()函數。

Morgan Creek創始人就下一個比特幣牛市向投資者提出建議:Morgan Creek創始人Anthony Pompliano剛剛發推文提出當進入下一個比特幣牛市時需要注意的信息。其中包括，比特幣極易波動；你可能會輸光所有的錢；只投資能接受輸掉的錢；推特不是投資建議；不要用信用卡購買比特幣；保持低時間偏好；自己做調查。[2020/10/21]

③攻擊者調用collect()函數，以此鑄造了超出權限更多的XFTM代幣。

④攻擊者多次重復步驟②和③，造成FantasmFinance巨額損失。

在函數calcMint中，合約使用以下公式來計算鑄幣量：

動態 | 火幣研究院發布游戲專題報告：區塊鏈游戲之路撲朔迷離 全場等待一個“爆款”:火幣區塊鏈研究院聯合鏈興資本發布最新研報《未來爆款何在？區塊鏈游戲行業的變革與突破》，報告深入闡述了區塊鏈游戲產業發展的內部驅動力，并分析了當前產業格局和發展趨勢。過去一年里，行業各方面數據保持良好增長態勢，傳統游戲廠商也紛紛試水。但行業還需要在降低用戶門檻、提高用戶體驗和完善底層基礎設施等方面進行突破和改進。

報告深入調研了區塊鏈游戲產業鏈上下游51個典型項目，認為產業鏈雛形已形成，主要包括5大類：1.基礎設施及開發者工具；2 區塊鏈游戲分發平臺；3.區塊鏈游戲；4.游戲資產交易市場；5. 周邊工具與服務。

過去一年，行業雖有所發展，但問題突出，發展之路撲朔迷離。不過長遠來看，區塊鏈技術在游戲行業的應用將帶來前所未有的突破和改變。報告認為：1.區塊鏈游戲的社區化運營將成為主流；2.盈利模式將更加多元；3.區塊鏈技術將讓“頭號玩家”的游戲世界成為現實；4.“爆款”游戲將帶動整個行業發展；5.完善的行業生態是區塊鏈游戲繁榮的前夜。[2019/8/14]

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

聲音 | Bitmex分析師：將7400美元視為下一個支撐位和潛在反彈位:Bitmex分析師Flood發布推特稱，將7400美元視為BTC下一個支撐位和潛在反彈位。 如果BTC失守支撐位后，他將會關注6800美元或更低的價格。[2018/8/1]

由于小數點錯誤，導致_xftmOut最終的值遠遠大于代碼的設計初衷。

寫在最后

本次事件主要是由合約公式計算錯誤引起的。

只需通過適當的同行評審、單元測試和安全審計，這一類型的風險往往極易避免。

在加密世界里大家一提到漏洞，往往會認為漏洞必然是很復雜的，其實并非總是如此。有時一個小小的計算錯誤，就可以導致數百上千萬美元的資產一朝蒸發。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。大家可以隨時訪問查看與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

近期攻擊事件高發，加密項目方及用戶們應提高相關警惕并及時對合約代碼進行完善和審計。

除此之外，技術團隊應及時關注已發生的安全事件，并且檢查自己的項目中是否存在類似問題。

參考鏈接：

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

Tags：區塊鏈CERTPSHTT區塊鏈掙錢是真的假的Soccer Vshttps://etherscan.ioCHTT幣

比特幣行情