慢雾分析Vee.Finance被攻击漏洞:预言机价格源单一且数据获取未进行小数处理
链捕手消息,安全分析机构SlowMist针对雪崩生态借贷项目Vee.Finance被攻击事件发布报告。分析称主要原因在于,在创建杠杆交易订单的过程中,预言机仅使用Pangolin pool 的价格作为价格馈送源,而该池价格波动超过3%。预言机会刷新价格,导致攻击者操纵了Pangolin pool的价格。而操纵Vee Finance预言机价格和收购预言机价格没有进行小数处理,导致掉期前预期的滑点检查没有起作用。
绕过对合约调用的检查,以及保证金交易的目标对未列入白名单是该次事故的间接原因。
此前9 月 20 日,Vee.Finance遭遇攻击,价值超过 3500 万美元的资产被盗。慢雾表示,目前正在协助Vee.Finance进行攻击分析和黑客跟踪。(来源链接)
