2023年4月13日,据BeO sin-鹰眼态势感知平台显示,向往金融的yusdt合约遭到黑客攻击,黑客获利超过1000万美元。
https://eagleeye . BeO sin . com/RiskTrxDetail/0 xd 55 e 43 c 1602 b 28d 4 FD 4667 ee 445d 570 c 8f 298 f 5401 cf 04 e 62 EC 329759 ecda 95d
关于此次事件,Beosin安全团队白天已经以简讯的形式与大家分享了简要分析,现在我们将长文分享如下:
事件相关信息攻击交易
0 xd 55 e 43 c 1602 b 28d 4 FD 4667 ee 445d 570 c 8f 298 f 5401 cf 04 e 62 EC 329759 ecda 95d
0 x8db 0 ef 33024 c 47200d 47d 8 e 97 b 0 fcf C4 b 51 de 1820 DFB 4 e 911 f 0 e 3 FB 0 a 4053138
0 xee 6 AC 7 e 16 EC 8 CB 0 a 70 e 6 BAE 058597 b 11 EC 2c 764601 b4cb 024 dec 28d 766 Fe 88 b 2
攻击者地址
0x 5 BAC 20 beef 31d 0 eccb 369 a 33514831 ed 8 e9 cdfe 0
0x 16 af 29 b 7 efbf 019 ef 30 aae 9023 a 5140 c 012374 a5
攻击合同
0x 8102 AE 88 c 617 deb 2a 5471 CAC 90418 da 4c CD 0579 e
攻击流程如下
以0 xd 55 e 43 c 1602 b 28d 4 DFD 4667 ee 445d 570 c 8 f 298 f 5401 cf 04 e 62ec 329759 ecda 95d为例。
1.攻击者先借出500万制造者:戴稳定币,500万美元和200万系绳:稳定币作为攻击的主犯。
2.攻击者调用aave池契约的r**函数来偿还他人的债务。这一步是减少aave池的抵押收益,从而降低aave池在earning:yUSDT Token契约中的优先级(earning:yUSDT Token契约会根据收益判断将资金放入哪个池)。
3.然后攻击者调用渴望的存款功能:yUSDT Token contract质押90万Tether: USDT Stablecoin。该函数会根据承诺的金额为调用方投出相关数量的yUSDTs,计算方法与池中各种代币的余额相关,如下图所示。这时,820,000元硬币投给了攻击者。
4.此时合约中有90万系绳:USDT Stablecoin和13万Aave: aUSDT Token V1。
5.接下来,攻击者将150,000美元兑换为150,000 bZx USDC伊托肯,并将其发送到“渴望:yUSDT代币合同”。此时合同中有118万资金,攻击者有90/103的份额,即可以提取103万资金。
6.随后,攻击者调用inward:yUSDT令牌契约的取款功能来提取抵押的资金。此时只有攻击者质押的90万Tether:usdtablecoin,初始的13万Aave: aUSDT Token V1和攻击者转移的15万bZx USDC iToken。但是,如果一个池中的令牌不足,将按顺序提取后续池中的令牌。此时,攻击者将提取所有90万系绳:USDT Stablecoin和13万Aave: aUSDT Token V1。这次行动之后,合同里只剩下15万bZx USDC伊藤健了。
7.随后,攻击者调用了向往的rebalance函数:yUSDT Token contract,该函数将从当前池中提取代币,质押给另一个收益更高的池。由于步骤2中的操作,合同将提取USDT和USDC,并将其添加到收入较高的池中。但目前的合同只有bZx USDC伊托肯,只能提取USDC,将重新投入其他USDT池。
8.攻击者将1单位系绳:USDT稳定币转移到池中,并再次调用渴望的存款功能:yUSDT令牌契约来质押10000系绳:USDT稳定币。由于第7步的操作,契约已经取出了所有池中的所有资金,没有办法将它们添加到新池中。变量pool计算为攻击者输入的1,作为除数,pool会计算出一个巨大的值,向攻击者投1.25 * 10 15 yUSDT。
9.最后,攻击者用yUSDT交换了所有其他稳定硬币,并归还了闪电贷款。
漏洞分析该攻击主要利用了yUSDT令牌契约的错误配置。在rebalance重新选择池的时候,只有USDT(token是USDT)作为添加的数量,而USDC无法添加池,导致攻击者利用USDC“消耗”了契约的所有USDT,池余额变为零,从而铸造了大量的token。
到资金追踪公布时,Beosin KYT的反洗钱分析平台发现,1150万美元的被盗资金已被转移到Tornado cash,其余资金仍存储在攻击者的地址中。
综上所述,对于此次事件,Beosin安全团队建议在初始化配置时进行严格检查。同时,项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"defi dao,defi项目包含哪些币":http://www.guoyinggangguan.com/qkl/159455.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
