11月3日,知道創宇區塊鏈安全實驗室 監測到 以太坊上的 DeFi 協議 VesperFi Fianance 遭遇預言機操控攻擊,損失超 300 萬美元。知道創宇區塊鏈安全實驗室 第一時間對本次事件深入跟蹤并進行分析。
攻擊分為兩部分:
第一部分:攻擊階段
交易哈希:
0x89d0ae4dc1743598a540c4e33917efdce24338723b0fabf34813b79cb0ecf4c5
1.攻擊者向 pool 添加(VUSD 對 USDC 為無窮大)的 0.1USDC 流動性
Offchain Labs為Arbitrum One托管的API將從6月3日開始不再包含websocket:5月28日消息,Arbitrum發推稱,Offchain Labs為Arbitrum One托管的API將從6月3日開始不再包含websocket,不過公共RPC仍然可供使用。若要繼續連接應用至ArbitrumOne,可以參考Alchemy和Ankr等服務。[2022/5/28 3:47:08]
馬斯克收購推特的提案不再受融資條件限制和盡職調查約束:4月21日消息,特斯拉CEO馬斯克表示,根據日期為4月20日的股權承諾函,承諾為推特擬議的交易提供股權融資,目前預計約210億美元。這意味著馬斯克收購推特的提案不再受融資條件限制,不再受盡職調查的約束,據悉馬斯克希望用他的一些特斯拉股票滿足20%的貸款價值(LTV)比率。據悉,埃隆·馬斯克表示截至2022年4月20日,他持有推特9.1%的股份。(金十)[2022/4/21 14:40:01]
2.攻擊者通過 Swap 用 232k USDC 兌換走 pool 內正常的 222k VUSD 流動性
動態 | Galaxy Digital出售Block.one部分股權 不再是其重要投資人:據The Block消息,加密貨幣投資銀行Galaxy Digital宣布已出售所持有的EOS開發商Block.one部分股權,不再是Block.one的重要投資人。Galaxy Digital表示,出售Block.one的這部分股權獲得收入7120萬美元,實現了123%的投資收益。 Galaxy Digital首席執行官兼創始人Michael Novogratz表示,“接受Block.one的收購要約反映了一項決定,即在頭寸增加后,重新平衡投資組合以保持適當的多元化水平,因為其相對于投資組合的其余部分表現優異,我們將繼續與Block.one緊密合作。我們是多個業務領域的重要合作伙伴,包括Galaxy EOS VC Fund(該基金投資基于EOS.IO協議的公司),并對EOS.IO協議感到興奮。“ Block.one是EOS區塊鏈開發軟件EOS.IO的開發商,Galaxy Digital 在早期投資了Block.one的股權。此外,Galaxy Digital 和Block.one還合作管理著一支規模達3.25億美元的EOS生態基金。[2019/5/22]
第二部分:套利階段
0x8527fea51233974a431c92c4d3c58dee118b05a3140a04e0f95147df9faf8092
1.通過 Swap 將 222k VUSD 兌換為 2205MM fVUSD
2.將 2205MM 抵押置換成其他 pool 基礎代幣
1.首要分析為什么黑客要進行兩次操作,而不通過同一攻擊合約完成操作?
解決這個問題首先我們要知道 Uniswap V3 使用的預言機為 TWAP 類型,該預言機功能為獲取一個時間周期上的交易平均價格,也就是說當價格已經發生改變時,該交易可能還并沒有處在 TWAP 獲取價格的時間周期中。
所以在黑客已經完成攻擊后,他并沒有急于兌換手中的 VUSD,而是等到價格發生變化時再入手。我們也確實可以看到套利階段發生在攻擊階段 10 塊高后。
攻擊交易哈希:
套利交易哈希:
2.至于添加流動性和兌換流動性得到解釋
在 Uniswap V3 中,只有一個區塊內對價格有影響的第一筆交易會被寫入預言機。因此添加過高的流動性可以讓 TWAP 發現并獲取到攻擊者指定的價格。而兌換走流動性則是讓 TWAP 發現前一步驟以及套利。
本次安全事件的主角雖然是 VesperFi Fianance,但是更讓人關心的是 Uniswap V3 的 TWAP 預言機是否依然安全,可以觀察到并非 TWAP 預言機本身錯誤地獲取了價格,而是一個嚴重超高的價格被設置出來讓它獲取的,不可否認其存在局限性,但是本次事件最主要的問題還是流動性過于集中在預期價格附近很容易被操縱以及允許 pool 內單個代幣不合理的流動性被設置。
Tags:ONELOCKBLOBLOCKonekeyappBlockNoteXblocsport.oneblock幣怎么樣
2020 年,戴安等人發布了一份論文,通過將焦點放在一個明顯的區塊鏈網絡安全性和穩定性問題上,震撼了加密貨幣世界:礦工可提取價值(MEV)。簡而言之:特權參與者有能力從其他人的交易中獲利.
1900/1/1 0:00:00據今日最新數據,鏈上NFT銷售總額突破190億美元,國內外各界的音樂藝人和NBA球星紛紛入場,除了NFT市場的戰火熊熊燃燒外,大火在圈內其它領域也是不斷蔓延:近期圈內圍繞Curve的流動性戰爭.
1900/1/1 0:00:00市場上對于DAO的討論與研究數不勝數,但大多都是關于DAO的歷史發展、定義和作用,目前還有沒就DAO的自治“A”程度進行分類的相關內容.
1900/1/1 0:00:00本文整理自 NextDAO 的 Twitter Space活動--「聊聊 NFT 的估值邏輯和市場格局」,作者:doudou, 下文是活動的部分總結.
1900/1/1 0:00:002019年3月6日,國家發展和改革委員會官網發布《國家公共信用信息中心2019年課題研究征集公告》,正式開展2019年研究課題公開征集工作.
1900/1/1 0:00:00PayPal 首席執行官 Dan Schulman 在財報會議上表示,美國人在銀行賬戶之間轉移資金仍然要依賴過時老舊的系統,而數字錢包可以大大提高政府發放刺激支票的效率.
1900/1/1 0:00:00