買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 幣安幣 > Info

SDC:慢霧:Value DeFi 協議閃電貸攻擊簡要分析_AUSDC價格

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2020年11月15日,ValueDeFi的ValueDeFiMultiStables保險庫遭遇閃電貸攻擊,慢霧安全團隊于第一時間跟進并進行相關分析,以簡要的形式呈現給大家,供大家參考。

1.攻擊者首先從Aave中借出80000個ETH,為攻擊做準備;

2.攻擊者使用80000個ETH在UniswapWETH/DAI池中用閃電貸借出大量的DAI和在UniswapWETH/DAI兌換出大量的USDT;

慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分的DAI進行充值,ValueMultiVaultBank合約中一共有3種資產,分別是3CRV、bCRV、和cCRV。ValueMultiVaultBank??合約在鑄幣的時候會將合約中的bCRV,cCRV轉換成以3CRV進行計價,轉化的途徑為bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的價格。轉換完成后,ValueDefi合約根據合約中總的3CRV的價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量;

慢霧:Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報,2022年1月18日,bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示,此次攻擊是由于setTrustedForwarder函數未做權限限制,且在獲取調用者地址的函數_msg.sender()中,寫了一個特殊的判斷,導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

4.攻擊者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的價格

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

5.攻擊者在ValueMultiVaultBank??合約中發起3CRV提現,此時ValueMultiVaultBank??合約和第3步一樣,會先將合約中的bCRV,cCRV轉換成以3CRV計價,由于在第4步中,USDC/3CRV的價格已經被拉高,導致換算的過程中,ValueMultiVaultBank??合約中的bCRV,cCRV能換算成更多的3CRV,也就是說使用同等份額的mVUSD可以換取更多的3CRV;

6.拿到3CRV后,攻擊者到Curve的DAI/USDC/USDT池中使用3CRV換回DAI,并在Uniswap中兌換回ETH,然后歸還Aave的閃電貸。

總結:由于ValueDefi合約在鑄幣過程中將合約資產轉換成3CRV時依賴CurveDAI/USDC/USDT池中USDC/3CRV的價格,導致攻擊者可以通過操控CurveDAI/USDC/USDT池中USDC/3CRV的價格來操控mVUSD/3CRV的價值,從而獲利。

相關鏈接:

(1)分析樣本:

https://etherscan.io/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a

Tags:CRVUSD3CRVSDCCRV價格usda幣官網3CRV幣AUSDC價格

幣安幣
數字貨幣:盤和林:央行數字貨幣引起熱議 存在問題但不必過度擔憂_區塊鏈

11月5日,中南財經政法大學數字經濟研究院執行院長盤和林發文稱,央行數字貨幣引起熱議,存在問題但不必過度擔憂。文章指出,不可忽略但也并不用過度擔憂因數字貨幣帶來的數字鴻溝問題.

1900/1/1 0:00:00
BETH:數據:已有16709ETH參與火幣ETH2.0一鍵質押_BET

據火幣全球站數據,截至12月3日已有16709ETH參與火幣ETH2.0一鍵質押。用戶一鍵將ETH質押為BETH,火幣將根據質押情況,擇機開放BETH交易.

1900/1/1 0:00:00
DEF:DeFi基金M&A已購入185.53枚WHITE_Amun DeFi Momentum Index

12月27日,DeFi基金M&A宣布其已經將20萬美元用于收購185.53枚Whiteheart項目代幣WHITE,這部分代幣將注入流動性池,或用于對沖合約.

1900/1/1 0:00:00
NXM:觀點:黑客會把 Karp的NXM換成wNXM,wNXM持有者只能眼睜睜看著被砸盤_區塊鏈

針對今晚NexusMutual創始人被黑客盜走800多萬美元NXM事件,PrimitiveVentures創始合伙人萬卉發布微博表示,黑客會將NXM換成wNXM.

1900/1/1 0:00:00
COL:Cypherium啟動主網 首款DeFi產品為CypherSwap_Angle Protocol

北京時間11月1日12:00,創立三年的企業級區塊鏈Cypherium正式開啟主網。項目官方Twitter預告,主網啟動后,Cypherium公鏈上發布第一個DeFi產品將是CypherSwap.

1900/1/1 0:00:00
DEF:吃貨大陸獲DeFi基金數百萬元融資支持_EFI

近日,吃貨大陸獲得某DeFi私人基金數百萬元戰略投資。本次投資旨在幫助吃貨大陸實現餐飲產業資產上鏈的規模化發展,特別是支持其DeFi相關發展計劃.

1900/1/1 0:00:00
ads