買以太坊 買以太坊
Ctrl+D 買以太坊
ads

VAULT:慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容_WBNB

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,EqualizerFinance今日遭受閃電貸攻擊。此次攻擊的主要原因在于EqualizerFinance協議的FlashLoanProvider合約與Vault合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。

慢霧安全團隊以簡訊形式將攻擊原理分享如下:

慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]

1.EqualizerFinance存在FlashLoanProvider與Vault合約,FlashLoanProvider合約提供閃電貸服務,用戶通過調用flashLoan函數即可通過FlashLoanProvider合約從Vault合約中借取資金,Vault合約的資金來源于用戶提供的流動性。

慢霧:Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報,2022年1月18日,bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示,此次攻擊是由于setTrustedForwarder函數未做權限限制,且在獲取調用者地址的函數_msg.sender()中,寫了一個特殊的判斷,導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

2.用戶可以通過Vault合約的provideLiquidity/removeLiquidity函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受Vault合約中的流動性余額與流動性憑證總供應量的比值影響。

慢霧:有用戶遭釣魚攻擊,在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息,有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析,此是由于該受害用戶遭受釣魚攻擊,錯誤的對攻擊者精心構造的惡意訂單進行簽名,惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配,并以攻擊者指定的極低價格成交,導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

3.以WBNBVault為例攻擊者首先從PancekeSwap閃電貸借出WBNB

4.通過FlashLoanProvider合約進行二次WBNB閃電貸操作,FlashLoanProvider會先將WBNBVault合約中WBNB流動性轉給攻擊者,隨后進行閃電貸回調。

5.攻擊者在二次閃電貸回調中,向WBNBVault提供流動性,由于此時WBNBVault中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。

6.攻擊者先歸還二次閃電貸,然后從WBNBVault中移除流動性,此時由于WBNBVault中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7.攻擊者通過以上方式攻擊了在各個鏈上的Vault合約,耗盡了EqualizerFinance的流動性。

Tags:ULTVAULTWBNBBNBDFNORM Vault (NFTX)COLLECTIVE Vault (NFTX)wbnb和bnb區別和聯系bnb是什么幣是騙局嗎

比特幣最新價格
GER:Ledger與Cathay Innovation合作推出1.1億美元的加密風險基金,專注于Web3、DeFi、NFT和DAO_TIGER22

加密安全平臺Ledger與風險投資機構CathayInnovation合作推出1.1億美元的早期風險基金,將專注于Web3、DeFi、NFT和DAO.

1900/1/1 0:00:00
SEC:美國SEC將12家“誤導性”加密公司列入未注冊實體公眾預警名單_CRYPT

據Decrypt報道,美國證券交易委員會(SEC)將12家“具有誤導性”的加密貨幣交易公司列入了未注冊實體的公眾預警名單.

1900/1/1 0:00:00
ADD:數字證券交易平臺ADDX完成5800萬美元Pre-B輪融資_Parabox

據TheBlock報道,新加坡數字證券交易平臺ADDX宣布完成5800萬美元Pre-B輪融資。泰國證交所子公司SETVentureHolding、UOB、HamiltonLane和Krungsr.

1900/1/1 0:00:00
Solana:Solana鏈和BSC鏈上的GST代幣差價擴至8倍,或因無跨鏈橋導致_OLA

pancakeswap數據顯示,BSC鏈上的Stepn游戲代幣GST約為39.37美元,Coinmarketcap數據顯示,Solana鏈上的原生GST價格為4.76美元.

1900/1/1 0:00:00
UNA:LFG正尋求超10億美元融資支持UST,Terra創始人稱即將塵埃落定_FLUNAR價格

據TheBlock報道,三位消息人士表示,Terra生態非營利組織LunaFoundationGuard正在向機構尋求籌集超過10億美元來支持UST,該交易正在談判中.

1900/1/1 0:00:00
BLO:知情人士:FTX、Deribit和BitMEX已清算三箭資本頭寸_velodromefinance幣新聞

據TheBlock報道,三位知情人士透露,在三箭資本未能滿足追加保證金的要求后,加密交易平臺FTX、Deribit和BitMEX在過去一周內已經清算了三箭資本的頭寸.

1900/1/1 0:00:00
ads