買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 聚幣 > Info

OUSD:復盤:OUSD遭“經典重入攻擊”損失770萬美元,黑客憑什么屢屢得逞?_DAI

Author:

Time:1900/1/1 0:00:00

作者:PeckShield

原標題:OUSD遭“經典重入攻擊”損失770萬美元DeFi安全亟待解決

近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊(Re-entrancyattack),造成價值770萬美元的ETH和DAI的損失。

重入攻擊是以太坊智能合約上最經典的攻擊手段之一,著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失價值5000萬美元以太幣。

自今年4月起,DeFi項目頻遭重入攻擊。4月18日,黑客利用Uniswap和ERC777標準的兼容性問題缺陷實施重入攻擊;4月19日,Lendf.Me也遭到類似重入攻擊;11月14日,黑客利用Akropolis?項目的SavingsModule合約在處理用戶存儲資產時存在的某種缺陷連續實施了17次重入攻擊,損失203萬枚DAI。?

CMS Holdings地址最近兩天將逾60.7萬枚DYDX轉至幣安:金色財經報道,據推特用戶余燼監測,CMS Holdings地址在最近兩天將607,748枚DYDX ($1.76M)轉進了Binance。CMS的這些DYDX源于3月3日-4月10日期間從Binance提出,成本可能在2.49美元。若是出售,CMS的這次DYDX投資應該會實現23萬美元的收益,收益率16%。[2023/4/17 14:07:18]

北京時間2020年11月17日,PeckShield監控到穩定幣OUSD遭到重入攻擊。OUSD是OriginProtocol推出的一種與美元掛鉤的ERC-20穩定幣,用戶可通過將基礎穩定幣存入Origin智能合約來鑄造OUSD穩定幣,之后該協議會將基礎穩定幣投資于多個DeFi協議并進行收益耕作,為OUSD持有者賺取回報。

分布式資本合伙人沈波:今日賣出LQTY系黑客行為,對LQTY持有長期信心從未出售:4月16日消息,分布式資本創始合伙人沈波在社交媒體上發文表示,今日遭賣出的LQTY被盜資產與去年11月為同一筆,目前各方正積極追查。被盜錢包交易非本人操作,LQTY賣出系黑客行為。個人對LQTY持有長期信心,一直未曾出售并長期支持Liquidity Pool。沈波呼吁社區共同協助尋找黑客線索,愿提供酬勞。此前報道,分布式資本創始合伙人沈波于去年11月23日宣布個人常用的894結尾錢包地址被盜,共包含價值4200萬美元資產。[2023/4/16 14:06:33]

重入攻擊重現憑空創造2050萬枚OUSD

Euler Finance公布用戶贖回方案:4月6日消息,DeFi 借貸協議Euler Finance公布用戶贖回方案,其中追回的資金共計 95,556.36059211764 枚 ETH 和 43,063,729.35 枚 DAI,未回收的資金包括攻擊者發送給 Tornado Cash 的共計 1100 枚 ETH 和發送到 Ronin 攻擊者地址的 100 枚 ETH,另外 100 枚 ETH 被攻擊者直接返還給用戶,用戶又將12枚ETH返還給Euler DAO金庫。DAO金庫地址還持有來自Sherlock協議的 3,396,964 枚 USDC 和 1,007,321 枚 DAI。

對于每個子賬戶,Euler Finance計劃在協議被禁用的區塊高度償還所有負債,此時智能合約中定義的鏈上預言機價格(Uniswap 或 Chainlink,取決于市場)用于確定資產和負債的 ETH 價值,并且賬戶的每個資產(包括非抵押資產)按比例用于償還負債。所有賬戶資產凈值將被相加以獲得總資產凈值,每個賬戶將能夠根據其在總資產凈值中的比例領取追回的 ETH、DAI 和 USDC。如果追回金額的價值超過總資產凈值,則超出部分將按比例分配給用戶。[2023/4/6 13:47:10]

PeckShield?通過追蹤和分析發現,首先,攻擊者從dYdX閃電貸貸出70,000枚ETH;

Uniswap NFT聚合服務交易總額突破200萬美元,周增長超100%:金色財經報道,據Dune Analytics最新數據顯示,UniswapNFT聚合服務交易總額已突破200萬美元,截至目前達到2,181,238美元,總交易量為3,292筆。當前UniswapNFT聚合服務中交易額最高的平臺來自OpenSea,交易額排名前三的NFT系列分別為:“變異猿”MAYC(268,809美元)、CLONEX-X TAKASHIMURAKAMI(207,850美元)、“無聊猿”Bored Ape Kennel Club(136,232美元)。歷史數據顯示,UniSwap NFT交易額于12月7日突破100萬美元,這意味著該指標周增長超100%。[2022/12/19 21:53:22]

隨后,在UniswapV2中先將17,500枚ETH轉換為785萬枚USDT,再將所貸剩余的52,500枚ETH?轉換為2099萬枚DAI;

接下來,攻擊者分四次鑄造OUSD穩定幣:

第一次通過mint()函數鑄造OUSD時,攻擊者確實在Origin智能合約中存放了750萬枚USDT,并獲得750萬枚OUSD;

第二次通過mintMultiple()多種穩定幣函數鑄造OUSD時,攻擊者在Origin智能合約中存放了2050萬枚DAI和0枚假“穩定幣”,并在此步驟中通過重入攻擊來攻擊合約。攻擊者將2050萬枚DAI和0枚假“穩定幣”存入VaultCore中,此時智能合約收到2050萬枚DAI,在嘗試接收0枚假“穩定幣”時,攻擊者利用惡意合約進行劫持,在智能合約正常啟動鑄造2050萬枚OUSD之前,調用mint()函數,先惡意增發了2050萬枚OUSD,此次惡意增發由VaultCore合約調用rebase()函數實施。

值得注意的是,為順利實施劫持,攻擊者在上述mint()函數調用時,真金白銀地存入了2,000枚USDT,同時獲得第三次鑄幣2,000枚OUSD。隨后,調用oUSD.mint()函數第四次鑄造2050萬枚OUSD。

rebase指代幣供應量彈性調整過程,即對代幣供應量進行“重新設定”。在DeFi領域有一類代幣擁有彈性供應量機制,即每個代幣持有用戶的錢包余額和代幣總量會根據此代幣價格的變化而等比例變動。此時,攻擊者共獲得2800.2萬枚OUSD,包括抵押的750萬枚USDT、2050萬枚DAI和2000枚USDT。由于調用rebase()函數,攻擊者所獲得的OUSD總計上漲至33,269,000枚。?

最后,攻擊者先用所獲得的33,269,000枚OUSD贖回1950萬枚DAI、940萬枚USDT、390萬枚USDC;再在Uniswap中將1045萬枚USDT兌換為22,898枚ETH,將390萬枚USDC兌換為8,305枚ETH,將190萬枚DAI兌換為47,976枚ETH,共計79,179枚ETH,并將其中70,000枚ETH歸還到dYdX閃電貸中。

據PeckShield統計,攻擊者在此次攻擊中共計獲利11,809枚ETH和2,249,821枚DAI,合計770萬美元。

對于次攻擊事件,OriginProtocol官方回應稱,正在積極采取措施,以期收回資金。

隨著DeFi生態的蓬勃發展,其中隱藏的安全問題也逐漸凸顯,由于DeFi相關項目與用戶資產緊密相連,其安全問題亟待解決。

對此,PeckShield相關負責人表示:“此類重入攻擊的發生主要是由于合約沒有對用戶存儲的Token進行白名單校驗。DeFi是由多個智能合約和應用所組成的’積木組合’,其整體安全性環環相扣,平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。”

Tags:USDOUSDETHDAIFDUSD價格OUSD價格bodhiethereumCDAI價格

聚幣
區塊鏈:Ground X CEO Jason Han “將不斷扶持Klaytn 直到數字資產的‘殺手锏’產品出現”_數字資產

據預測,以數字形式擁有并進行交易的“數字資產”將成為實現區塊鏈技術大眾化的“殺手锏(killer)服務”產品。近日,“TechB研討會”于韓國首爾江南區HashedLounge舉行.

1900/1/1 0:00:00
HEL:金生有幣:10.27ETH午間空單獲利提醒與操作建議_HEL幣

金生有幣:10.27ETH午間空單獲利提醒與操作建議???恭喜凌晨跟上金生有幣實盤布局空單操作的幣友們,午間給出以太477-799附近進場空單,止損486。止盈469,完美止盈十個點.

1900/1/1 0:00:00
OSM:亮亮說幣:11.18ETH晚間止盈通知.短短幾分鐘又一波止盈.恭喜跟上的幣友_LUMOSX價格

如果自己沒有盡力,就沒資格說別人不盡全力,開口抱怨很容易,但閉嘴努力寥寥無幾,每一個單邊瘋狂,都歷經了暗濤洶涌,每一場瘋狂慶賀,都經歷了砥礪前行,每一次風光無限,都經歷過黯然神傷.

1900/1/1 0:00:00
MATTER:老楊談幣:11.18EHT晚間分析及操作策略_TERK

:??行為懶惰窮一代,思維懶惰窮三代,貧窮和富貴就是一念之間,觀念決定貧與富,心態決定苦與樂。很多時候,我們總是挑最省力的事情去做,也習慣了聽天由命,更比在乎一拖再拖,當然,積累的效果自然是致命.

1900/1/1 0:00:00
AAVE:11.19凌晨BTC和ETH策略_USD

???BTC大的趨勢在那里,不建議追高,更不建議盲目做空。實時的進場點位非常重要,經常熬夜盯盤,只為了讓我的幣友放心,每一個進場點位都是深思熟慮,分析得出的,正確的交易是需要依靠技術來做輔助,而.

1900/1/1 0:00:00
TOK:幣圈輝哥:11.19行情分析及策略_Restore Truth Token

行情分析: 之前有說到這波牛市是要破歷史高點的,從前幾天的行情也分析了不能以常理來判斷莊家做單,前天最高拉伸到18469,當時猜測莊家可能會反常理一舉突破歷史新高,但是從昨天大跌來看.

1900/1/1 0:00:00
ads