VALUE DEFI翻车第3季



img

一周两次。

Value DeFi已经是辆破烂不堪的列车残骸。

六个月前他们损失了700万美元,三天前他们损失了1000万美元。

现在他们又损失了1100万美元。

残忍,野蛮,翻车。

“联合创始人”是一个付费演员,代码是复制的并且被错误使用,这样的结果就是,Value DeFi完全崩塌。

这是第三次及最后一次,又或者猿猴会继续原谅和遗忘?

Value DeFi到底出了什么问题?

大约有1100万美元从vSwap AMM vSwap池中被盗。

该事件是由于在计算和执行加权常数乘积不变式时错误地使用了exponentiation power()函数。

任何没有将流动性进行资产50/50分配的资金池都被利用。

由于Uniswap只支持资产比为50/50的资产池,Value DeFi的非标准资产池使用了Bancor公式。

参考交易:0x2fd0aaf0aaf0bad8e81d28d0e6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

1.首先,攻击者向交易对地址发送少量的第二个代币

2.然后他们进行一个交易,在这个交易中他们想要取出第一个代币中的一小部分和第二个代币中的大部分。

3.由于Bancor公式使用不当,双方合约认为交换是成功的。(漏洞利用的根源)

被盗资金:

1.5万 BNB 2700 FARM 1700 BASv2 850万 BDO 6.83万 BUSD 4.14万 MDG 94.5万 VBOND 120万 BAC 1.1万 FIRO

来源:frankresearcher

注意power()例程有四个参数(baseN、baseD、expN和expD),用于计算(baseN/baseD)^(expN/expD)*(2^precision)的整数近似值,其中precision用于计算结果。但是,在如何使用这个power()函数方面有一个警告。它提出了一个明确的假设,即baseN必须不小于baseD,即baseN>=baseD。在本次攻击中,池的swap()函数是通过有意违反上述假设的精心设计的输入来调用的。因此,加权常量积强制执行方案获得通过,资金池被抽干。

来源:peckshield

尽管他们在我们的排行榜上现身三次,但是自从最近的一次攻击之后,Value DeFi的原生代币已经有所恢复。然而,Nansen告诉我们,成交量一直在减少。

再一次品牌重塑能否挽救被黑客攻击最多的协议,使其免于失去所有用户,又或者这就是Value DeFi的终结?

Value团队在最新攻击发生前几个小时还向用户保证他们平台的安全性,并在推特上发布了增加安全措施的消息,这些措施显然没有任何影响。

展望未来,很难看出有谁会相信这些匿名的开发者,他们承认在fiverr上雇佣了一名付费女演员来扮演创始人的角色,当他们面对用户的质疑时,他们的回应类似于:

我们在视频中标注为我们联合创始人的女孩实际上只是一个付费的女演员,但是我们的一个开发人员碰巧用了这个网络化名,所以我们碰巧在Fiverr上找到了一个同名的女演员出现在我们的视频中!

对于Value DeFi,最不安全的DeFi协议,的用户来说,智商税很高。谁会同情这些明目张胆的低质量项目的用户呢?

我们非常感谢Value DeFi最近几个月为我们带来的新读者,但希望这是最后一次。

尽管我们嘲笑创始人们一次又一次的失败,可被偷的不是他们的钱。如果他们计划继续经营,那么他们将不得不更加努力。

与其关注虚假交流,不如关注真实用户的安全,而不是堆积毫无价值的安全审计。

或者也许是时候放弃了,不再把用户的资金置于风险之中。

Value DeFi能够安全地关闭他们的业务吗?还是我们很快就会看到最终的退出骗局?


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。