2024 年 6 月 10 日,据慢雾 MistEye 安全监控系统监测,EVM 链上提供数字资产借贷服务的平台 UwU Lend 遭攻击,损失约 1,930 万美元。慢雾安全团队对该事件展开分析并将结果分享如下:
(https://x.com/SlowMist_Team/status/1800181916857155761)
攻击者地址:
0x841ddf093f5188989fa1524e7b893de64b421f47
存在漏洞的合约地址:
0x9bc6333081266e55d88942e277fc809b485698b9攻击交易:0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3
0xb3f067618ce54bc26a960b660cfc28f9ea0315e2e9a1a855ede1508eb4017376
0x242a0fb4fde9de0dc2fd42e8db743cbc197ffa2bf6a036ba0bba303df296408b
本次攻击的核心点在于攻击者可以通过在 CurveFinance 的池子中进行大额兑换直接操纵价格预言机,影响 sUSDE 代币的价格,并利用被操纵后的价格套出池子中的其他资产。
1. 闪电贷借入资产并砸低 USDE 的价格:攻击者首先通过闪电贷借入大量资产,并在可以影响 sUSDE 价格的 Curve 池子中将借来的部分 USDE 代币兑换成其他代币。
2. 大量创建借贷头寸:在当前 sUSDE 价格大跌的情况下,通过存入其他底层代币大量借出 sUSDE 代币。
3. 再次操纵预言机拉高 sUSDE 的价格:通过在之前的 Curve 池子中进行反向兑换操作,将 sUSDE 的价格迅速拉高。
4. 大量清算负债头寸:由于 sUSDE 的价格被迅速拉高,使得攻击者可以大量清算之前借款的头寸来获得 uWETH。
5. 存入剩余的 sUSDE 并借出合约中的其他底层代币:攻击者再次存入当前处于高价的 sUSDE 来借出更多的底层资产代币获利。
不难看出,攻击者主要是通过反复操纵 sUSDE 的价格,在低价时进行大量的借款,而在高价时进行清算和再抵押获利。我们跟进到计算 sUSDE 价格的预言机合约 sUSDePriceProviderBUniCatch 中:
可以看出 sUSDE 的价格是先从 CurveFinance 上的 USDE 池子和 UNI V3 池子获取 11 个 USDE 代币的不同价格,再根据这些价格进行排序和计算中位数来确定的。
而在这里的计算逻辑中,其中 5 个 USDE 的价格是直接使用 get_p 函数获取 Curve 池子的即时现货价格,这才导致了攻击者可以在一笔交易内以大额兑换的方式直接影响价格中位数的计算结果。
据链上追踪工具 MistTrack 分析,攻击者0x841ddf093f5188989fa1524e7b893de64b421f47 在此次攻击中获利约 1,930 万美元,包括币种 ETH, crvUSD, bLUSD, USDC,随后 ERC-20 代币均被换为 ETH。
通过对攻击者地址的手续费溯源,查询到该地址上的初始资金来自 Tornado Cash 转入的 0.98 ETH,随后该地址还接收到 5 笔来自 Tornado Cash 的资金。
拓展交易图谱发现,攻击者将 1,292.98 ETH 转移至地址 0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6,目前该地址的余额为 1,282.98 ETH;攻击者将剩下的 4,000 ETH 转移至地址 0x050c7e9c62bf991841827f37745ddadb563feb70,目前该地址的余额为 4,010 ETH。
MistTrack 已将相关地址拉黑,并将持续关注被盗资金的转移动态。
本次攻击的核心在于攻击者利用价格预言机的直接获取现货即时价格和中位数计算价格的兼容缺陷来操纵 sUSDE 的价格,从而在严重价差的影响下进行借贷和清算来获取非预期的利润。慢雾安全团队建议项目方增强价格预言机的抗操纵能力,设计更为安全的预言机喂价机制,避免类似事件再次发生。
fil币是Filecoin网络的代币,在一些主流的加密货币交易所,如Binance、Coinbase、火币网等可以购买。购买fil币需要在支持fil币交易的平台注册账号,连接钱包并进行交易。购买fil币的价格会根据市场供求关系而波动。如果对购买fil币有兴趣,建议选择一个正规的加密货币交易所进行购买。
2 2023年值得投资的虚拟币有哪些_加密货币app十大排名
2021年有潜力的虚拟币包括比特币、以太坊、波卡、链link、天使币等。这些虚拟币在2021年将继续得到投资者的青睐,并可能在未来取得更好的发展。比特币和以太坊作为最具知名度和市值的虚拟币,仍然将作为市场的领头羊;波卡和链link则是在区块链技术方面具有前瞻性的项目,备受关注;而天使币则是一个有潜力的新兴虚拟币项目,吸引了许多投资者的注意。随着加密货币市场的持续发展和成熟,这些虚拟币有望在2021
本研究探讨了如何利用 Swift 探索区块链互操作性,以消除代币化资产结算过程中的摩擦。通过研究不同区块链之间的互操作性机制,可以更有效地实现不同代币之间的跨链交易和结算,从而降低成本和提高效率。本文探讨了此领域的现状和挑战,并提出了一些解决方案,以促进 Swift 的区块链互操作性,为代币化资产的结算提供更加便捷和高效的解决方案。
以下是前10泰达币交易平台排名: 1. Binance 2. OKEx 3. Huobi 4. Bittrex 5. Bitfinex 6. Kraken 7. KuCoin 8. Gate.io 9. HitBTC 10. Bitstamp 这些交易平台提供了购买泰达币(USDT)的服务,用户可以通过这些平台进行泰达币的交易和投资。每个平台都有自己的特点和优势,用户可以根据自己的需求和偏好选择适
5 欧意交易所平台v6.17.1最新版本下载 欧意app最新版
欧意交易所平台v6.17.1是最新版本,用户可以通过下载欧意app最新版来体验全新的交易功能和优化的用户体验。新版本提供更稳定的交易环境和更多的交易工具,帮助用户更轻松地进行数字资产交易。欧意app最新版的更新还包括安全性的增强和性能的优化,旨在为用户提供更好的交易体验。赶快下载欧意交易所平台v6.17.1最新版本,体验更便捷、更安全的数字资产交易服务吧!
天然气突然没气了可能是由于管道堵塞、阀门关闭或者供应中断等原因导致。在这种情况下,燃气表上会显示零值或者警示指示灯亮起。需要及时与供气公司联系并排除故障,确保燃气供应正常。
《不要问我太阳有多高》是一首歌曲,歌词主要表达了对生活的热爱和追求美好的心态。歌曲旋律优美动听,唱出了对幸福生活的向往和追求。通过歌曲,表达了对美好未来的期待和坚定的信念。
8 流动性质押平台ether.fi推出Operation Solo Staker计划
Operation Solo Staker是由流动性质押平台ether.fi推出的一个计划,旨在帮助用户独自操作并管理他们的质押资产。该计划为用户提供了一种简单而高效的方式来参与质押活动,从而获得稳定的收益。通过Operation Solo Staker,用户可以方便地管理他们的质押资产,并且享受流动性质押平台提供的各种奖励和福利。这个计划为用户提供了更大的自主权和灵活性,让他们能够更好地控制自己
给A4纸一半是A5尺寸,尺寸为148mm x 210mm。A5相册是一种比较常见的相册尺寸,适合保存照片或者纪念特殊时刻。其尺寸适中,方便携带和存放,可供日常欣赏或送礼使用。
NFT(非同质化代币)是一种数字资产,可以代表数字文件或数字艺术品的所有权。NFT市场在近年来迅速发展,吸引了越来越多的投资者和收藏家。然而,NFT的价值仍然存在争议。有人认为NFT是一种热门投资,可以获得高回报,而有人则认为它是一种泡沫,可能存在风险。 对于是否值得投资NFT,需要考虑几个因素。首先,要注意NFT市场的风险,投资者应该有足够的了解和研究。其次,需要谨慎选择购买的NFT项目,避免陷
