買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > FTX > Info

WBT:慢霧:NimbusPlatform被黑主要在于計算獎勵時僅取決于池子中的代幣數量導致被閃電貸操控_BTC

Author:

Time:1900/1/1 0:00:00

據慢霧安全團隊情報,2022年12月14日,BSC鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:1.攻擊者首先在8天前執行了一筆交易,把20枚BNB換成NBU_WBNB再換成GNIMB代幣,然后把GNIMB代幣轉入Staking合約作質押,為攻擊作準備;2.在8天后正式發起攻擊交易,首先通過閃電貸借出75477枚BNB并換成NBU_WBNB,然后再用這些NBU_WBNB代幣將池子里的絕大部分NIMB代幣兌換出;3.接著調用Staking合約的getReward函數進行獎勵的提取,獎勵的計算是和rate的值正相關的,而rate的值則取決于池子中NIMB代幣和GNIMB代幣的價格,由于NIMB代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;4.攻擊者最后將最后獲得的GNIMB代幣和擁有的NIMB代幣換成NBU_WBNB代幣后再換成BNB,歸還閃電貸獲利;此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]

Tags:WBTBTCUSDTUSDCWBTC超級比特幣SBTC解散btcusdtUSDO

FTX
SWAP:Uniswap價格分析:看漲領先使UNI達到6.09美元_Inme Swap

gz呺Web3團子 今天的Uniswap價格分析顯示UNI/USD貨幣對呈上升趨勢,看漲的領先優勢使其從5.86美元升至6.09美元大關.

1900/1/1 0:00:00
USD:合約新手如何在WEEX一鍵跟單,復制高手的交易策略?_usdm幣是什么幣

當前加密市場仍處于熊市,離下一輪牛市還早。熊市行情上躥下跳,現貨交易很難盈利,往往是一買就被套,然后在跌跌不休的日子里要么割肉止損,要么遙遙無期地等待解套,忍受資產縮水和身心煎熬的雙重打擊.

1900/1/1 0:00:00
TAT:SHIB 大持有人交易量創下 124% 的新高_Shiba X

流行的模因硬幣的用戶群在過去一天經歷了驚人的增長。WhaleStats對排名前100位的柴犬持有者進行了分析,發現在過去24小時內,大持有者的交易量激增了124%.

1900/1/1 0:00:00
比特幣:比特幣價格冬季會在 2023 年繼續嗎?8 個關鍵注意事項_加密貨幣

到2022年結束時,對于許多加密貨幣投資者來說,比特幣的價格下一步將走向何方是一個充滿許多零的問題。誰知道呢?這里有8個要考慮的關鍵因素.

1900/1/1 0:00:00
NAR:悅盈:比特幣18387看弱 以太坊看1250支撐_safuu幣FTX漲幅27倍

灰度在其官網發布聲明稱,由于近期各類風險事件頻發,投資者對其在灰度的加密投資資產的安全性和透明度愈發關注。灰度表示,其數字資產不受近期風險事件影響,產品安全有保障.

1900/1/1 0:00:00
數字貨幣:如果多頭保持力量,CHZ 價格可能突破 0.1429 美元_中國的穩定幣用什么

CHZ價格分析表明另一輪牛市即將到來。CHZ的上漲很可能受到今年FOMC會議后BTC反彈的影響Chiliz面臨0.1429美元的阻力和0.1369美元的支撐.

1900/1/1 0:00:00
ads