一个小数点造成数百万美元蒸发,Fantasm Finance攻击事件分析_CER:DETIK Token

北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。

攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH。

下文CertiK安全团队将从合约地址及攻击操作等方面为大家进行详细的解读并分析。

https://ftmscan.com/tx/0x64da8b8043b14fe93f7ab55cc56ccca2d190a59836a3f45dbb4b0a832e329cac?

https://ftmscan.com/tx/0xa84d216a1915e154d868e66080c00a665b12dab1dae2862289f5236b70ec2ad9?

Football?world将推出NFT盲盒与世界杯实况竞猜活动:据官方消息,元宇宙Play?&?Move?to?Earn足球游戏Football?world宣布将于10月上旬推出NFT盲盒与世界杯实况竞猜预热活动,并开启玩家积分空投奖励。

据悉,Football?world是一款最新一代融合了运动+竞猜+科技+社交等元素的Web3足球主题RPG链游,扩展了“X?to?earn”游戏内容玩法的领域框架。游戏集NFT盲盒、世界杯竞猜、足球经理人、人机交互、SocialFi五大核心玩法于一体,预计将于近期正式上线运行。

此外,Football?world目前已获得多家知名机构深度投资合作。而于近期计划推出的全民参与的球员NFT系统及世界杯实况竞猜生态,将授权Football?world生态Token及NFT以用于世界杯实时竞猜。[2022/9/24 7:19:05]

①攻击者在地址0x944b58c9b3b49487005cead0ac5d71c857749e3e部署了一个未经验证的合约。

OneFootball与Animoca Brands和Dapper Labs合作推出NFT交易市场Aera:4月13日消息,足球媒体平台OneFootball宣布将与Animoca Brands和Dapper Labs合作推出NFT交易市场Aera。该NFT市场基于Flow网络,旨在通过区块链技术创造一种新的球迷体验,将足球粉丝群体带入Web3。该市场将于四月发行首批球星卡NFT系列《HATTTRICKS》。[2022/4/13 14:21:16]

②在第一个tx中,攻击者将Fantom代币(FTM)换成FSM代币,并在合约0x880672ab1d46d987e5d663fc7476cd8df3c9f937中调用mint()函数。

足球元宇宙游戏Footium完成335万美元种子轮融资,BackedVC领投:3月31日消息,多人足球管理游戏Footium宣布完成335万美元种子轮融资,BackedVC领投,其他投资方包括Animoca Brands、Stride.VC、EntréeCapital、RLCVentures、IVC,和游戏公会Yield Guild GamesSEA、BAYZ、Black Pool DAO和MeritCircle,以及前曼联足球运动员Chris Smalling、Biconomy联合创始人AhmedAl-Balaghi和SOLBigBrain(Big BrainHoldings)等天使投资人。

据悉,Footium是一款多人足球管理游戏,允许玩家拥有一个足球俱乐部来管理他们的球队和战术,并通过青年学院培养新人才。Footium将继续构建足球元宇宙。(Medium)[2022/3/31 14:30:08]

③攻击者调用collect()函数,以此铸造了超出权限更多的XFTM代币。

动态 | TE-FOOD推出新产品BlockSeal,利用区块链技术进行证书认证:专注于供应链及其相关认证的提供商TE-FOOD推出了新产品BlockSeal,可以让证书发行者在区块链上创建安全、真实、易于共享的证书。(Food Online)[2019/12/5]

④攻击者多次重复步骤②和③,造成FantasmFinance巨额损失。

在函数calcMint中,合约使用以下公式来计算铸币量:

_xftmOut=(_fantasmIn*_fantasmPrice*COLLATERAL_RATIO_MAX*(PRECISION-mintingFee))/PRECISION/(COLLATERAL_RATIO_MAX-collateralRatio)/PRICE_PRECISION。

由于小数点错误,导致_xftmOut最终的值远远大于代码的设计初衷。

写在最后

本次事件主要是由合约公式计算错误引起的。

只需通过适当的同行评审、单元测试和安全审计,这一类型的风险往往极易避免。

在加密世界里大家一提到漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。有时一个小小的计算错误,就可以导致数百上千万美元的资产一朝蒸发。

本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。

除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。大家可以随时访问查看与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。

近期攻击事件高发,加密项目方及用户们应提高相关警惕并及时对合约代码进行完善和审计。

除此之外,技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

参考链接:

1.?https://blocksecteam.medium.com/the-analysis-of-the-array-finance-security-incident-bcab555326c1

2.https://peckshield.medium.com/xwin-finance-incident-root-cause-analysis-71d0820e6bc1

3.https://peckshield.medium.com/pancakebunny-incident-root-cause-analysis-7099f413cc9b

4.https://www.certik.io/blog/technology/copycat-attack-balancer-why-defi-needs-change#home

5.https://www.certik.org/blog/uranium-finance-exploit-technical-analysis

6.https://www.certik.io/blog/technology/little-pains-great-gains-balancer-defi-contract-was-drained#home

7.https://www.certik.io/blog/technology/yam-finance-smart-contract-bug-analysis-future-prevention#home

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-4:238ms