重蹈覆轍？為何DEUS協議再受攻擊-ODAILY_DEI

前言

北京時間4月28日，Fantom平臺DEUS協議又一次遭到攻擊，損失約1340萬美元，知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊tx：0x39825ff84b44d9c9983b4cff464d4746d1ae5432977b9a65a92ab47edac9c9b5

BAYC官宣HV-MTL REAVER將于本周發布:金色財經報道，“無聊猿”BAYC在官推宣布HV-MTL REAVER NFT將于本周發布，該NFT此前原本在今年四月上線，但之后BAYC更新了“猴子吉米試煉”游戲進展將其延遲到5月發布，路線圖中的Evo 1 Reveal更新時間從4月調整為5月，后續的“Evo 2之旅”的時間也從此前的“5月啟動”改為了“6月啟動”。 HV-MTL總計有8類，由3萬枚“Evo 1”Mechs機甲NFT系列組成，通過銷毀下水道通證Sewer Pass可獲得，持有HV-MTL NFT將被允許訪問未來BAYC游戲和內容，REAVER是其中之一。[2023/5/16 15:05:26]

攻擊合約：0x1f56CCfE85Dc55558603230D013E9F9BfE8E086C

Terra Classic開發者Vegas關閉驗證節點:金色財經報道，Terra Classic開發者Vegas于12月23日突然宣布關閉其驗證節點“Vegas Validator”。此外，他指示Terra Classic社區將他們的LUNC代幣重新委托給不同的驗證者。[2022/12/23 22:03:29]

攻擊者：0x701428525cbAc59dAe7AF833f19D9C3aaA2a37cb

加密市場總市值回升至1.1萬億美元上方:金色財經報道，最近數據顯示加密市場總市值已升至1.1萬億美元，本文撰寫時為1,101,462,228,888美元，24小時漲幅4.6%。[2022/7/20 2:25:07]

攻擊流程

1、從StableV1AMM多個包含USDC的交易對中，閃電貸共借出143,200,000USDC；

2、143,200,000USDC兌換為9,547,716DEI，抬高了交易對中DEI的價格；

3、71,436DEI作為抵押品，借出17,246,885DEI；

4、9,547,716DEI兌換回143,184,725USDC，USDC/DEI交易對價格回復正常；

5、歸還閃電貸。

漏洞原理

問題根源在于Oracle喂價合約中，價格計算取決于交易對的余額數量，容易通過閃電貸操縱

總結

此次攻擊事件的核心在于用于喂價的預言機合約的定價機制存在缺陷，僅通過交易對的代幣余額計算而來，容易被閃電貸操縱。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：DEISDCUSDCUSDDEIP幣sdc幣價格CUSDC價格AUSD

FTT