買以太坊 買以太坊
Ctrl+D 買以太坊
ads

COI:慢霧:Value DeFi vSwap 模塊被黑簡析_SWAP

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊將攻擊過程以簡訊的形式分享:

1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代幣

2.攻擊者在兌換的同時也進行閃電貸操作,因此vSwap合約會將兌換的vBSWAP代幣與閃電貸借出的WBNB轉給攻擊者

慢霧:Distrust發現嚴重漏洞,影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道,據慢霧區消息,Distrust 發現了一個嚴重的漏洞,影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器(PRNG)來訪問錢包的私鑰,目前已在現實世界中造成了實際影響。

漏洞詳情:該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器(PRNG)實現。該實現使用了 Mersenne Twister 算法,并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍:該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶,以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估:由于該漏洞的存在,攻擊者可以訪問并控制用戶的錢包,從而竊取其中的資金。截至 2023 年 8 月,已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案:我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包,并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

3.而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的tokenWeight0參數是否為50來選擇不同的算法來檢查池子中的代幣數量是否符合預期

慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

4.由于vSwap合約的tokenWeight0參數設置為70,因此將會采用第二種算法對池子中的代幣數量進行檢查

慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

5.而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過

6.第二種算法是通過調用formula合約的ensureConstantValue函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的

7.在通過對此算法進行具體分析調試后我們可以發現,在使用WBNB兌換最小單位(即0.000000000000000001)vBSWAP時,池子中緩存的WBNB值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過

8.因此攻擊者可以轉入WBNB進行最小單位的vBSWAP代幣兌換的同時,將池子中的大量WBNB代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過vSwap的檢查

9.攻擊者只需要在所有的vSwap池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利

參考交易:

https://bscscan.com/tx/0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

Tags:COINCOISWAPOINLitecoin Tokenfreecoin幣未來潛力PEPESWAP幣幣贏coinw靠譜嗎

歐易交易所app下載
ETH:IOSG:Liquity 在“519”市場大跌的考驗中經歷什么?_Zilliqa

本文發布于IOSGVentures。2021年5月19日,ETH價格一度從3400美元迅速下跌至1800美元,其他幣種也出現暴跌,短時間內整個市場迅速進入下行行情.

1900/1/1 0:00:00
DEFI:DeFi 借貸協議 Alchemix 因 alETH 池漏洞損失約 653 萬美元,將采取提高協議費等措施以填補缺口_World of Defish

鏈捕手消息,DeFi借貸協議Alchemix發布alETH池事故報告,報告稱由于alETH池腳本部署錯誤,用戶在以4:1的抵押比例借了alETH后卻沒有待償還債務.

1900/1/1 0:00:00
ITA:Vitalik Buterin 澄清區塊鏈投票的兩個誤解:它為何被低估了?_加密貨幣行情追蹤工具

本文來自鏈聞,原文標題:《Vitalik:為何需要區塊鏈投票?》,作者:VitalikButerin,以太坊聯合創始人,編譯:南風,來源:Unitimes。投票是一個非常需要過程完整性的過程.

1900/1/1 0:00:00
LYRA:期權協議 FinNexus:黑客鑄造超3.23億枚 FNX 代幣,將用新代幣替換FNX_INN

鏈捕手消息,據官方Medium,期權協議FinNexus發布關于黑客攻擊的官方聲明表示,驅動FinNexus的部分硬件被惡意軟件破壞,且似乎是針對平臺的攻擊.

1900/1/1 0:00:00
STE:Neo N3上線倒計時,Neo理事會初始成員招募正式啟動_STEER

鏈捕手消息,6月8日,作為Neo區塊鏈最新最全面的版本,NeoN3主網上線已經進入倒計時。N3引入了全新鏈上治理委員會和投票激勵,Neo鏈上治理委員會稱為Neo理事會,可對網絡費用等鏈上參數進行.

1900/1/1 0:00:00
POW:PoW 與 PoS 效率之辯:是消耗資本更好,還是消耗電力更好?_比特幣

本文來自以太坊愛好者,原文標題:《觀點|電力之外——PoS不是救世主》,撰文:KF。密碼學貨幣圈子內外,越來越多人寄希望于權益證明既能為我們貢獻密碼學貨幣的優點、又能避免工作量證明的耗能屬性.

1900/1/1 0:00:00
ads