Morpho協議在2024年10月13日遭受了一次攻擊,導致損失約230,000美元。Morpho PAXG/USDC市場遭到攻擊,是由於在計算價格時,兩個代幣的小數位設定不正確。
概述
攻擊者: https://etherscan.io/address/0x02DBE46169fDf6555F2A125eEe3dce49703b13f5
受漏洞影響的合約: https://etherscan.io/address/0xBBBBBbbBBb9cC5e90e3b3Af64bdAF62C37EEFFCb
攻擊交易: https://etherscan.io/tx/0x256979ae169abb7fbbbbc14188742f4b9debf48b48ad5b5207cadcc99ccb493b
漏洞分析
Morpho協議允許使用者建立市場並配置使用Morpho預言機的價格。在建立PAXG/USDC市場時,部署者將基礎和報價代幣的小數位設定為8。這些引數用於確定SCALE_FACTOR並計算該對的價格。
錯誤在於USDC(6位小數)和PAXG(18位小數)小數位的差異。這導致價格出現12位小數的膨脹,將PAXG價格高估了10^12倍。
意識到這一錯誤配置後,攻擊者提供了350美元的PAXG來借出230,000 USDC。
經驗教訓
從預言機網路獲取正確的資產價格對於去中心化金融應用程式至關重要。隨著越來越多的預言機解決方案可用,每個解決方案都有獨特的配置和特定的用例,開發人員必須徹底瞭解並謹慎地整合所選的預言機。對於去中心化金融開發人員來說,完全理解他們計劃使用的預言機平臺非常重要,特別要注意可能的錯誤配置,尤其是關於資產小數位的問題,以確保準確的整合。
強烈建議進行安全審計,無論是簡單的ERC20合約還是擁有數十萬行程式碼的複雜去中心化金融協議。
