2024 年 6 月 10 日,据慢雾 MistEye 安全监控系统监测,EVM 链上提供数字资产借贷服务的平台 UwU Lend 遭攻击,损失约 1,930 万美元。慢雾安全团队对该事件展开分析并将结果分享如下:
(https://x.com/SlowMist_Team/status/1800181916857155761)
攻击者地址:
0x841ddf093f5188989fa1524e7b893de64b421f47
存在漏洞的合约地址:
0x9bc6333081266e55d88942e277fc809b485698b9攻击交易:0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3
0xb3f067618ce54bc26a960b660cfc28f9ea0315e2e9a1a855ede1508eb4017376
0x242a0fb4fde9de0dc2fd42e8db743cbc197ffa2bf6a036ba0bba303df296408b
本次攻击的核心点在于攻击者可以通过在 CurveFinance 的池子中进行大额兑换直接操纵价格预言机,影响 sUSDE 代币的价格,并利用被操纵后的价格套出池子中的其他资产。
1. 闪电贷借入资产并砸低 USDE 的价格:攻击者首先通过闪电贷借入大量资产,并在可以影响 sUSDE 价格的 Curve 池子中将借来的部分 USDE 代币兑换成其他代币。
2. 大量创建借贷头寸:在当前 sUSDE 价格大跌的情况下,通过存入其他底层代币大量借出 sUSDE 代币。
3. 再次操纵预言机拉高 sUSDE 的价格:通过在之前的 Curve 池子中进行反向兑换操作,将 sUSDE 的价格迅速拉高。
4. 大量清算负债头寸:由于 sUSDE 的价格被迅速拉高,使得攻击者可以大量清算之前借款的头寸来获得 uWETH。
5. 存入剩余的 sUSDE 并借出合约中的其他底层代币:攻击者再次存入当前处于高价的 sUSDE 来借出更多的底层资产代币获利。
不难看出,攻击者主要是通过反复操纵 sUSDE 的价格,在低价时进行大量的借款,而在高价时进行清算和再抵押获利。我们跟进到计算 sUSDE 价格的预言机合约 sUSDePriceProviderBUniCatch 中:
可以看出 sUSDE 的价格是先从 CurveFinance 上的 USDE 池子和 UNI V3 池子获取 11 个 USDE 代币的不同价格,再根据这些价格进行排序和计算中位数来确定的。
而在这里的计算逻辑中,其中 5 个 USDE 的价格是直接使用 get_p 函数获取 Curve 池子的即时现货价格,这才导致了攻击者可以在一笔交易内以大额兑换的方式直接影响价格中位数的计算结果。
据链上追踪工具 MistTrack 分析,攻击者0x841ddf093f5188989fa1524e7b893de64b421f47 在此次攻击中获利约 1,930 万美元,包括币种 ETH, crvUSD, bLUSD, USDC,随后 ERC-20 代币均被换为 ETH。
通过对攻击者地址的手续费溯源,查询到该地址上的初始资金来自 Tornado Cash 转入的 0.98 ETH,随后该地址还接收到 5 笔来自 Tornado Cash 的资金。
拓展交易图谱发现,攻击者将 1,292.98 ETH 转移至地址 0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6,目前该地址的余额为 1,282.98 ETH;攻击者将剩下的 4,000 ETH 转移至地址 0x050c7e9c62bf991841827f37745ddadb563feb70,目前该地址的余额为 4,010 ETH。
MistTrack 已将相关地址拉黑,并将持续关注被盗资金的转移动态。
本次攻击的核心在于攻击者利用价格预言机的直接获取现货即时价格和中位数计算价格的兼容缺陷来操纵 sUSDE 的价格,从而在严重价差的影响下进行借贷和清算来获取非预期的利润。慢雾安全团队建议项目方增强价格预言机的抗操纵能力,设计更为安全的预言机喂价机制,避免类似事件再次发生。
MTS币是一种数字货币,它的价值不仅仅体现在它的价格上,还包括它的技术优势和市场前景。目前,MTS币的价格是多少呢?下面我们来进行介绍。首先,MTS币的价格是由市场供需关系决定的。当市场中对MTS币的需求较高时,其价格通常会上涨;反之,当市场中对MTS币的供应量大于需求量时,其价格则可能下跌。其次,MTS币的价格还受到投资者对其的评价和预期影响。投资者对于MTS币的技术优势和潜在应用前景的看好,会
随着区块链技术的发展,加密货币作为数字金融的代表,逐渐进入人们的视野。其中,MNET币作为一种新兴数字货币,备受关注。然而,对于MNET币投资者来说,他们最关心的问题之一就是MNET币是否存在风险。首先,需要明确的是,所有的投资都存在风险,包括传统金融市场投资和数字货币投资。MNET币作为一种数字货币,也不例外。投资者应该认识到,MNET币的价格波动较大,市场风险较高。其次,MNET币的价格非常容
关于nrgy币的前景,投资人们褒贬不一。nrgy币是一种基于区块链技术的加密货币,旨在推动能源生产与消费的可持续性发展。尽管nrgy币在理念上具备吸引力,但其实际应用和市场表现仍存在许多不确定性。首先,nrgy币的理念着实令人眼前一亮。作为一种专注于能源领域的加密货币,nrgy币旨在促进能源转型和可持续发展。它的目标是建立一个将能源生产者和消费者连接起来的去中心化平台,使能源市场更加高效和透明。这
MYRA币是一种虚拟货币,近年来在数字货币市场上逐渐崭露头角。它的面世引起了人们的关注,但随之而来的也是一些风险。在投资之前,我们需要对MYRA币的风险做出仔细的评估。首先,虚拟货币市场有很大的波动性,MYRA币也不例外。它的价格可能在很短的时间内大幅波动,这意味着投资者可能在短时间内获得巨大的收益,也可能遭受巨大的损失。这种不确定性使得MYRA币的投资风险较高。其次,MYRA币存在安全性的风险。
5 NAC币有风险吗
随着加密货币市场的发展,越来越多的人开始涉足这个领域,寻找投资机会。NAC币作为其中一种加密货币,备受人们关注。然而,对于初次接触NAC币的投资者来说,他们可能会担心NAC币是否存在风险。首先,需要明确的是,任何投资都有风险,包括加密货币投资。NAC币并不例外。NAC币目前的市值相对较小,流通量也不大,因此价格波动性较大。对于那些风险承受能力较低的投资者来说,可能会因为价格波动而吃亏。其次,NAC
概述:MNTIS币是一种虚拟货币,其在市场上备受瞩目,但是也存在着一定的风险。在投资之前,了解并评估这些风险是至关重要的。风险一:市场波动风险所有虚拟货币都面临市场波动风险。MNTIS币也不例外。虽然MNTIS币市值可能会在短时间内迅速上涨,但是同样可能会迅速下跌。这种波动性使得MNTIS币的投资变得不稳定,可能导致投资者蒙受巨大的损失。风险二:监管政策风险随着虚拟货币市场的发展,各国政府和金融机
7 mzc币有希望吗
随着加密货币市场的发展和创新,许多新兴的数字货币正在涌现。而其中一种备受关注的是MZC币,它能否带来新一轮的变革和突破呢?让我们来研究一下。MZC币,全名为MazaCoin,是一种基于比特币协议的加密货币。它的首要目标是为美洲原住民部落提供一个独立的经济体系。MZC币的创立者认为,通过数字货币的方式可以为原住民社区提供更多的自主权,帮助他们摆脱长期以来面临的经济困境。虽然MZC币的初衷很有意义,但
MPX币是一种数字货币,它是基于区块链技术发行的加密货币之一。自MPX币面世以来,其价值一直备受关注。那么,MPX币现在的价值多少钱一枚呢?下面我们一起来了解一下。首先,要了解MPX币的价值,就需要关注其市场行情。市场行情会受到多种因素的影响,包括供求关系、交易量、市场情绪等等。因此,MPX币的价格会不断波动。目前,MPX币的价格在市场上大致在几美元左右。另外,MPX币的价值还受到其用途的影响。M
9 NGA币有希望吗
NGA币有希望吗? NGA币是目前火爆的数字货币市场中备受关注的币种之一。随着区块链技术的不断发展以及数字货币的流行,许多投资者对于NGA币的前景产生了浓厚的兴趣。首先,我们需要了解NGA币的基本情况。NGA是Next Generation Altcoin的缩写,是一种以区块链技术为基础的加密数字资产。NGA币采用了创新的技术架构和共识算法,具备更高的安全性和可扩展性。此外,NGA币还拥有快速的交
10 NCC币有希望吗
近年来,加密货币市场一直以其高风险高回报的特点吸引着众多投资者的关注。而在众多加密货币中,NCC币作为新兴的数字货币备受瞩目。然而,对于它是否有希望成为投资者的首选,人们存在着不同的看法。首先,NCC币具备的技术优势是其发展的一个重要支撑。NCC币是基于区块链技术开发的,具备分布式账本和去中心化的特点,使得交易过程具有高度的安全性和可信度。与传统金融体系相比,NCC币的交易速度更快,成本更低,对于
