買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > MEXC > Info

WBT:慢霧:DFX Finance 存在嚴重漏洞遭攻擊,攻擊者獲利逾 23 萬美元_usdt幣交易違法嗎香港

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧安全團隊情報,2022年11月11日,ETH鏈上的DFXFinance項目遭到攻擊,攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下:1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況,之后根據返回的存款情況來構造合適的閃電貸需要借出的錢2.緊接著繼續Curve合約的flash函數進行閃電貸,因為該函數未做重入鎖保護,導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數,在該函數中會將第二步中借來的資金轉移回Curve合約里,并且為攻擊合約進行存款的記賬,并且為攻擊合約鑄造存款憑證4.由于利用重入了存款函數來將資金轉移回Curve合約中,使得成功通過了閃電貸還款的余額檢查5.最后調用withdraw函數進行取款,取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證,并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護,導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷,由于存款時有記賬所以攻擊者可以成功提款獲利。

慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

動態 | 慢霧:9 月共發生 12 起較典型的安全事件,供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件,包括:EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外,慢霧區塊鏈威脅情報(BTI)系統監測發現,針對區塊鏈生態的供應鏈攻擊越來越多,形如:去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊,還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入,進行實施盜幣攻擊。[2019/10/1]

Tags:WBTUSDUSDTCurveWBT價格GUSDusdt幣交易違法嗎香港YCURVE

MEXC
INK:一文讀懂儲備金證明_LINK

全球金融系統普遍存在抵押率和透明性不足的問題,導致系統性風險頻發,經濟反復經歷興衰周期,最終整個金融市場陷入崩潰.

1900/1/1 0:00:00
數字資產:美財長耶倫:FTX的崩潰表明需要對加密貨幣進行謹慎監管_SBF價格

本文來自彭博社,原文作者:ChristopherCondonOdaily星球日報譯者?|念銀思唐美國財政部長珍妮特·耶倫表示.

1900/1/1 0:00:00
加密貨幣:在FTX消亡后,投資者或不敢再對交易所投資_Coinbase Pre-IPO tokenized stock FTX

在FTX崩盤之后,其主要投資者放棄了對交易所的投資。由于面臨80億美元的流動性短缺,FTX最近申請破產。?領先的加密貨幣交易所之一FTX的倒閉是當前全球加密貨幣市場的熱門新聞.

1900/1/1 0:00:00
SWAP:Uniswap 已準備好成為焦點;原因并不奇怪_UNIFI幣

本周的加密貨幣市場崩盤對市場參與者來說相當嚴重。然而,盡管如此,Uniswap(UNI)看到了一個機會來強調為什么去中心化交易所可能是更好的選擇.

1900/1/1 0:00:00
RUP:FTX前員工揭露內幕:資金是如何避開審計流向Alameda的?_Rupee

原文來源:@vydamo_原文編譯:郭倩雯,ChainCatcher我本不打算分享這一切,但當我有機會與@MarioNawfal匿名分享時,我決定分享.

1900/1/1 0:00:00
Chiliz:Chiliz [CHZ] 持有者在退出前應考慮這一因素_chiliz幣創始人

在過去的幾天里,Chiliz進入了高波動階段,布林帶就是證明。山寨幣的交易所流出揭示了有用的見解。Chiliz的對其三個月趨勢線阻力的看跌反駁在過去兩天造成了強勁回調.

1900/1/1 0:00:00
ads