诺瓦克事件 - 价格操纵 人们对诺瓦克公司的价格操纵行为感到愤怒。据报道,该公司故意操纵其产品的价格,以获取更高的利润。这种行为不仅损害了消费者的利益,也损害了整个市场的公平竞争。专家表示,诺瓦克公司的行为可能会给该行业带来严重的 Dent。政府已经介入调查此事,并将对违法行为采取严厉的惩罚措施。

本文为机器翻译
展示原文

币安智能链上的去中心化金融 (DeFi) 项目Novax于 2024 年 8 月 14 日遭受攻击,估计损失约 25,000 美元。该事件凸显了该协议的预言机和质押机制中的漏洞,强调了 DeFi 项目需要更强大的安全措施。

概述

攻击者:

感谢阅读 Verichains!免费订阅以接收新帖子并支持我的工作。

https://bscscan.com/address/0x81ca56b6973ff63e3ff2b3f99cb6a6d211269e79

脆弱合约:

https://bscscan.com/address/0x55c9eebd368873494c7d06a4900e8f5674b11bd2

交易攻击: https://bscscan.com/tx/0xb1ad1188d620746e2e64785307a7aacf2e8dbda4a33061a4f2fbc9721048e012

漏洞分析

攻击很简单:攻击者使用闪电贷从 USDT-BUSD 对中借入USDT ,购买 NovaX 代币,质押一半的 NovaX 余额,出售另一半,然后提取资金。

该合约允许立即质押和提取 NovaX 代币,从而利用价格操纵。我们检查了质押和提取逻辑:

质押逻辑记录了质押的 NovaX 代币数量,参考 Oracle 提供的价格。

然而,Oracle 根据配对中的代币储备来计算价格,将代币 A 的数量除以代币 B 的数量,从而很容易通过闪电贷进行操纵。

同样,withdraw 函数会根据 Oracle 的实时价格来计算需要领取的 token 数量,这样攻击者就可以轻松控制输出,从而获取大量的 token。

这些漏洞的根本原因是,stake 和 withdraw 函数都是基于不可靠的 Oracle 来计算代币金额的值。

经验教训

此次事件凸显了 DeFi 中强大的价格预言机机制的重要性。依赖易受操纵的预言机(尤其是通过闪电贷)会带来严重漏洞。为了增强安全性,请探索去中心化的预言机网络,实施熔断机制和时间延迟,并确保进行全面的测试和审计。这些措施将增强 DeFi 项目的弹性,保护用户资产并维护对生态系统的信任。

来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
Followin logo