鏈捕手消息,2022年3月10日,BSC鏈上的DOD項目中鎖定的BUSD代幣被非預期的取出,慢霧安全團隊進行分析如下:
1.DOD項目使用了一種特定的鎖倉機制,當DOD合約中BUSD數量大于99,999,000或DOD銷毀數量超過99,999,000,000,000或DOD總供應量低于1,000,000,000時將觸發DOD合約解鎖,若不滿足以上條件,DOD合約也將在五年后自動解鎖。DOD合約解鎖后的情況下,用戶向DOD合約中轉入指定數量的DOD代幣后將獲取該數量1/10的BUSD代幣,即轉入的DOD代幣數量越多獲得的BUSD也越多。
慢霧:iCloud 用戶的MetaMask錢包遭遇釣魚攻擊是由于自身的安全意識不足:據官方消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。
慢霧安全團隊經過實測通過 iCloud 恢復數據后再打開 MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。[2022/4/18 14:31:38]
2.但由于DOD代幣價格較低,惡意用戶使用了2.8個BNB即兌換出99,990,000個DOD。
慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:
1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;
2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;
3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;
4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;
5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;
6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;
7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]
3.隨后從各個池子中閃電貸借出大量的BUSD轉入DOD合約中,以滿足合約中BUSD數量大于99,999,000的解鎖條件。
動態 | 慢霧:9 月共發生 12 起較典型的安全事件,供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件,包括:EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外,慢霧區塊鏈威脅情報(BTI)系統監測發現,針對區塊鏈生態的供應鏈攻擊越來越多,形如:去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊,還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入,進行實施盜幣攻擊。[2019/10/1]
4.之后只需要調用DOD合約中的swap函數,將持有的DOD代幣轉入DOD合約中,既可取出1/10轉入數量的BUSD代幣。
5.因此DOD合約中的BUSD代幣被非預期的取出。
本次DOD合約中的BUSD代幣被非預期取出的主要原因在于項目方并未考慮到DOD低價情況下與合約中鎖定的BUSD將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。
鏈捕手消息,DeFi協議StructFinance完成390萬美元種子輪融資,BlizzardFund、AssymetriesTechnologies、Avalaunch、BixinVentur.
1900/1/1 0:00:00鏈捕手消息,藝術和娛樂數字藏品市場LimeWire宣布將通過Algorand發行NFT并成為藝術家和粉絲創造、購買和交易數字收藏品的一站式市場.
1900/1/1 0:00:00來源:Decentralise 原文作者:Joel 編譯:Katie,Odaily星球日報星球日報編者按:在web2的世界里.
1900/1/1 0:00:00鏈捕手消息,AxieInfinity發文表示,由于仍面臨著大量從未解決的技術和社會治理協調挑戰,當下將財庫資金交由社區管理可能會項目造成損害.
1900/1/1 0:00:00原文作者:0x137/律動BlockBeats上周末,DeFi領域的靈魂人物AndreCronje清倉了自己在Fantom生態的所有資產,并宣布離開DeFi和加密領域.
1900/1/1 0:00:00鏈捕手消息,金融商業節目UnicornHunters今日宣布,美國前財政部長RosieRios已加入Unicorn董事會.
1900/1/1 0:00:00