買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 酷幣 > Info

Beosin:DeFi 借貸協議 Sentiment被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

金色財經報道,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年4月5日,DeFi借貸協議sentiment協議遭到攻擊,損失約1百萬美元,BeosinTrace追蹤發現已有0.5WBTC、30個WETH、538,399USDC和360,000USDT被盜,目前,大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。攻擊交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74dBeosin安全團隊現將分析結果分享如下:1.攻擊者首先調用BalancerVault的“joinPool”函數進行質押。2.然后再調用“exitPool”取回質押,在這個過程中,BalancerVault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中,攻擊者調用0x62c5合約的borrow函數,該過程需要根據BalancerVault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的"exitPool"過程中,pool中總供應量已經減少而數據還沒有更新,攻擊者利用這個數據錯誤從而多借出資產達成獲利。攻擊者收到消息,如果在4月6日8點前歸還資產,會獲得95000美元獎勵,并不會被追究。

Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]

動態 | Beosin預警:持續警惕hardfail狀態攻擊 ?:Beosin(成都鏈安)預警,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,目前仍有不少攻擊者嘗試使用hard_fail 狀態攻擊,攻擊測試目標已由交易所轉向各類游戲合約,截止9號晚間10點,攻擊者****wge在持續攻擊中嘗試混合使用正常轉賬交易和hardfail失敗交易,在兩次交易中設置同樣的memo,如果項目方從節點獲取交易數據時沒有做好完整的交易判斷,可能會因此造成損失,這種攻擊嘗試雖然簡單但仍可能造成危害,Beosin(成都鏈安)提醒各項目方做好自檢自查,對交易執行狀態進行校驗,避免不必要的損失。[2019/4/9]

動態 | Beosin預警:cubecontract遭受攻擊 攻擊者已獲利:Beosin(成都鏈安)預警,今天下午14:46-14:51之間,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,黑客justjiezhan1向EOS競猜類游戲cubecontract發起攻擊且已經獲利。在此之前,黑客justjiezhan1已于12:00:41左右開始部署攻擊合約,成都鏈安安全分析人員初步分析認為攻擊者仍然與之前的攻擊手法相同,為交易阻塞攻擊。在此我們建議游戲合約開發者應該重視游戲邏輯嚴謹性及代碼安全性,同時呼吁游戲項目方在項目上鏈前進行完善的代碼安全審計,必要時可借助第三方專業審計團隊的力量防患于未然。[2019/3/18]

Tags:EOSSINGVCMANEOSCSingle FinanceDGVC幣MANDI

酷幣
CRYP:下一輪牛市是普通人入場的最后機會嗎?_BTCU

在加密貨幣生態中,普通人入場的機會正在逐漸減少。這是因為加密貨幣生態中,像BTCETH這樣的標的具有確定性大、成長空間大、相對安全等特點,并且在下一輪牛市中,它們很可能會有非常高的漲幅.

1900/1/1 0:00:00
ADO:六名原告提交動議尋求面向美國公民重新開放Tornado.Cash_區塊鏈技術通俗講解中山大學

金色財經報道,在Coinbase支持的針對美國政府制裁Tornado.Cash的法律斗爭中,六名原告周三提交了一項簡易判決動議,稱Tornado.Cash從設計上講不能作為財產被制裁.

1900/1/1 0:00:00
GAL:火必將于2023年4月10日上線MUSK/USDT交易對_ALA

尊敬的用戶: 火必將于2023年4月10日17:00(GMT8)開放MUSK/USDT的交易對,敬請關注!MUSK充值>>> 祝您交易愉快! 風險提示:數字資產是一種創新產品.

1900/1/1 0:00:00
ETH:Euler Finance公布用戶贖回方案,將基于協議禁用時的區塊高度確定資產和負債_FIN

4月6日消息,DeFi借貸協議EulerFinance公布用戶贖回方案,其中追回的資金共計95,556.36059211764枚ETH和43,063,729.35枚DAI.

1900/1/1 0:00:00
OLA:Solana 的新創新為平價 NFT 鋪平了道路_SOLA

Solana是一個高度可擴展的區塊鏈網絡,一直作為“以太坊殺手”在加密世界掀起波瀾。然而,最近的失敗已經削弱了它的聲譽.

1900/1/1 0:00:00
ARK:ZK 初創公司 Polyhedra Network 完成 1500 萬美元融資,Polychain 領投_BunnyPark

ForesightNews消息,據CoinDesk報道,總部位于加州伯克利的ZK基礎設施初創公司PolyhedraNetwork完成1500萬美元Pre-SeriesA輪融資.

1900/1/1 0:00:00
ads