據慢霧安全團隊情報,BNBChain上項目NimbusPlatform遭到攻擊,攻擊者獲利約278枚BNB。
攻擊過程如下:1.攻擊者首先在8天前執行了一筆交易,把20枚BNB換成NBU_WBNB再換成GNIMB代幣,然后把GNIMB代幣轉入Staking合約作質押,為攻擊作準備。
慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。
2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]
2.在8天后正式發起攻擊交易,首先通過閃電貸借出75477枚BNB并換成NBU_WBNB,然后再用這些NBU_WBNB代幣將池子里的絕大部分NIMB代幣兌換出。
慢霧:PREMINT攻擊者共竊取約300枚NFT,總計獲利約280枚ETH:7月18日消息,慢霧監測數據顯示,攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT,賣出后總計獲利約280枚ETH。此前報道,黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊,從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]
3.接著調用Staking合約的getReward函數進行獎勵的提取,獎勵的計算是和rate的值正相關的,而rate的值則取決于池子中NIMB代幣和GNIMB代幣的價格,由于NIMB代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多。
慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:
1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;
2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;
3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;
4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;
5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;
6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;
7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]
4.攻擊者最后將最后獲得的GNIMB代幣和擁有的NIMB代幣換成NBU_WBNB代幣后再換成BNB,歸還閃電貸獲利。此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊表示,建議在進行代幣獎計算時應確保價格來源的安全性。
原文標題:《MaturityforasuccessfulnextWeb3cycle:AcaseforTokenEngineering》作者:AchimStruve.
1900/1/1 0:00:00整理:flowie,ChainCatcher“過去24小時都發生了哪些重要事件”1、火必計劃裁撤近一半員工,全員將取消年終獎據吳說報道,火必全員將取消年終獎,目前準火必員工約1200人.
1900/1/1 0:00:00作者:Chainlink行業頂尖的Web3服務平臺Chainlink今天正式發布Chainlinkv0.1版權益質押.
1900/1/1 0:00:00作者:KEY3.id 12月8日,DID應用KEY3.id于12月5日發起了藍籌NFT綁定域名投票活動,并于今日公開投票結果.
1900/1/1 0:00:00據VICE報道,巴西企業家FlaviodeMeiraPenna的NFT公司試圖在巴西亞馬遜州收購超過150平方英里的土地雨林,然后結合加密貨幣和游戲化模型來吸引投資者參與亞馬遜雨林的保護.
1900/1/1 0:00:00Web3營銷解決方案Tristan已推出面向Web2和Web3客戶的通用忠誠度管理平臺?TristanAlliance,目前正在進行友好用戶測試.
1900/1/1 0:00:00