リスク警告:「仮想通貨」「ブロックチェーン」の名のもとでの違法な資金調達のリスクに注意してください。—銀行保険監督管理委員会など5部門
情報
発見
検索
ログイン
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
View Market
Flurry Finance への攻撃のレビュー
CertiK
特邀专栏作者
2022-02-23 13:00
この記事は約1937文字で、全文を読むには約3分かかります
CertiK セキュリティ チームは、コントラクト アドレスと攻撃操作に関して詳細な解釈と分​​析を提供します。

北京時間の2022年2月22日午後1時46分、CertiKセキュリティ専門家チームはFlurry Financeに関連する一連の不審な活動を検知し、Flurry FinanceのVault契約が攻撃され、約29万3000ドル相当の資産が盗まれた。

攻撃ステップ

攻撃ステップ

アタッカー:

アタッカー:

https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

悪意のあるトークンコントラクト:

https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

PancakeSwap 取引ペア:

https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

攻撃者は、Rabbit's Bank 契約からフラッシュ ローンを作成し、StrategyLiquidate の実行メソッドをトリガーします。

実行メソッドは、入力データを LP トークン アドレスにデコードし、さらに悪意のあるトークン コントラクトのアドレスを取得します。

攻撃者は、悪意のあるトークン コントラクト内の攻撃コードを使用して、予備攻撃を開始します。

https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

戦略清算契約:

https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

悪意のあるトークン コントラクトは、FlurryRebaseUpkeep コントラクトの PerformUpkeep メソッドを呼び出し、Vault コントラクトの関連金額を再計算し、関連する Rho トークンの乗数を更新します。

ここでの乗数は、Rho トークンの残高計算に使用されます。 Vault 契約の関連金額を再計算し、それに関連する Rho トークンの乗数を更新します。ここでの乗数は、Rho トークンの残高計算に使用されます。この更新は、Vault 契約に関連付けられた利益戦略契約の残高に基づいています。

更新はフラッシュ ローンのプロセス中にトリガーされますが、この時点ではフラッシュ ローンはまだ終了しておらず、融資金額もまだ返されていないため、銀行契約の現在の残高は通常の値よりも大幅に少なくなっています。この銀行契約も特定の戦略の一部であり、これにより特定の戦略の残高が通常の値よりも小さくなり、さらに乗数が通常の値よりも小さくなります。

FlurryRebaseUpkeep コントラクト:

https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

Vault の契約の 1 つ:

https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

攻撃者はフラッシュ ローンの金額を返し、最初の攻撃を完了し、さらなる攻撃で利益を得る準備ができています。

次のトランザクションでは、攻撃者は前のトランザクションで取得した低い乗数でトークンをデポジットし、乗数をより高い (通常の) 値に更新し、高い乗数でトークンを引き出します。たとえば、最初の攻撃トランザクションの 1 つでは、乗数が 4.1598e35 に更新されました。

さらなる攻撃のトランザクションで乗数が 4.2530e35 に更新されました。

攻撃例:

https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

乗数は Rho トークンのバランスを決定する要素の 1 つであるため、次のようになります。

攻撃者の Rho トークン残高はトランザクションで増加したため、Vault からより多くのトークンを引き出すことができました。

最後に書きます

最後に書きます

このインシデントは主に外部依存関係によって引き起こされました。

したがって、CertiK のセキュリティ専門家は、プロジェクトは外部コントラクトと対話する前にそのセキュリティを明確に理解し、外部依存関係が自身のコントラクトに及ぼす可能性のある影響を制限する必要があると提案しています。

このイベントの早期警告は、CertiK公式Twitterその上、

その上、CertiK公式ウェブサイトコミュニティアラート機能を追加しました。公式 Web サイトでは、脆弱性、ハッカー攻撃、および Rug Pull に関するさまざまなコミュニティ警告情報を常に参照できます。

DeFi
安全性
Odaily公式コミュニティへの参加を歓迎します
購読グループ
https://t.me/Odaily_News
チャットグループ
https://t.me/Odaily_CryptoPunk
公式アカウント
https://twitter.com/OdailyChina
チャットグループ
https://t.me/Odaily_CryptoPunk
おすすめ記事
ゲーム・オブ・スローンズ:トランプからCZまで、億万長者たちが「予測市場」に賭けているのはなぜか?
週刊エディターズピック(10月25日~31日)
徹底的な分解: X402 はインターネットの「支払いギャップ」を解消しようとしましたが、また同じ落とし穴に陥ってしまいました。
AI要約
トップに戻る
CertiK セキュリティ チームは、コントラクト アドレスと攻撃操作に関して詳細な解釈と分​​析を提供します。
著者ライブラリ
CertiK
CertiK: 2025年版Skynet RWAセキュリティレポート
記事ホットランキング
Daily
Weekly
この状況が続けば、誰も暗号通貨を取引しなくなるでしょう。
この状況が続けば、誰も暗号通貨を取引しなくなるでしょう。
x402の人気が高まっている。急騰する「コンセプトコイン」は本当に意味があるのだろうか?
上海から逃亡したバイナンスCEO、チャオ・チャンポンは、いかにしてトランプ大統領から恩赦を受けたのか? 仮想通貨業界のベテランが10年間の記憶と業界の謎を紐解く。
来週の注目点:連邦準備制度理事会が次回の金利決定を発表、ストラテジーが第3四半期の収益報告を発表(10月27日~11月2日)。
AI仮想通貨取引コンテスト最新結果:DeepSeekがトップに返り咲く
Odailyプラネットデイリーアプリをダウンロード
一部の人々にまずWeb3.0を理解させよう
IOS
Android