買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > Filecoin > Info

EOS:簡析 Solana 算法穩定幣 Nirvana 被攻擊事件_SIN

Author:

Time:1900/1/1 0:00:00

原文標題:《暴跌 90%!Solana 算法穩定幣新秀 Nirvana 被攻擊事件分析》

撰文:成都鏈安

當你第一次聽到 Nirvana 這個項目時,你的反應是不是也是這樣。

Nirvana,不就是那支享譽全球的涅槃樂隊嗎?

Nirvana,對于一個喜歡搖滾樂的樂迷來說肯定很熟悉,當然,Web3 的項目方取名字也會各種蹭,當時這個算法穩定幣協議 Nirvana 出來時,很多人也在疑惑這個項目是否和這支傳奇樂隊有關聯。

Beosin:Skyward Finance項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Near鏈上的Skyward Finance項目遭受漏洞攻擊,Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數,導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id,并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near,約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

后來事實證明他們毫無關系。

Beosin:UVT項目被黑客攻擊事件簡析,被盜資金已全部轉入Tornado Cash:金色財經報道,據Beosin EagleEye 安全預警與監控平臺檢測顯示,UVT項目被黑客攻擊,涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

經Beosin安全團隊分析,發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法,該方法會調用被攻擊合約的0x7e39d2f8方法,因為合約具有Controller權限,所以通過驗證直接轉走了被攻擊合約的所有UVT代幣,Beosin安全團隊通過Beosin Trace進行追蹤,發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]

據悉,這個有著 Solana 算法穩定幣新秀的項目,采取雙代幣系統:ANA,一種算法亞穩態代幣,用作財富存儲;由 ANA 作為抵押生成的 NIRV 代幣,是一種去中心化的超級穩定幣,用作價值存儲。

慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。

針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

為何這個項目在今日遭受攻擊,請聽我們細細分解。

北京時間 7 月 28 日中午,成都鏈安鏈必應 - 區塊鏈安全態勢感知平臺輿情監測顯示,基于 Solana 的去中心化算法穩定幣協議 Nirvana 遭遇攻擊,其穩定幣 NIRV 價格從 1 美元一度跌至 0.09 美元,目前反彈至 0.11 美元,最大跌幅超過 90%;ANA 代幣價格從 8.9 美元一度跌至 1.5 美元,跌幅高達 85%。

我們統計資金損失時,發現項目方損失約 357 萬美元。

攻擊發生時海外正值深夜,大概項目方工作人員還在睡夢中。成都鏈安安全團隊的小伙伴,立刻跟進此事件,現將本次事件簡單分析如下。

(以下直接進入技術代碼分析狀態)

第一步,攻擊者通過調用 solend 協議的 flash loan 指令,借來了 1025WUSD,隨后調用了 Nirvana 程序中的 Buy3 指令,此時根據兌換比例可以算出此時 USD/ANA 為 8.72,兌換后價格為 24.27,此時兌換前價格 / 兌換后價格約為 1/3。

第二步,攻擊者開始進入「黑化狀態」,兩次調用 swap 指令將獲得的 ANA 兌換為 USD,價格隨后分別跌至 22.73,16.47。

第三步,成都鏈安安全團隊通過 Github 搜索關鍵字[nirkXSE28jCQoK8SmKWqxXz3L9vbSRGKS24iYJj8Aeo]相關項目,但未發現存在 buy3 指令。

第四步,被盜資金目前以通過跨鏈橋轉移到以太坊上。成都鏈安鏈必追將持續對資金地址進行分析和追蹤。

根據 Odaily 星球日報的報道,「Nirvana」目前資產缺口超過 1200 萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。「Nirvana」要想繼續存活,也許可以效仿競品 Beanstalk Farms 進行眾籌。

好了,今天的分享就結束了,后續有動向我們將持續跟進此事件。

Tags:EOSSINSOLUSDeos幣柚子已經確定跑路FSINUsol幣為什么大幅下跌Wrapped Staked USDT

Filecoin
X2Y2:金色圖覽 | NFT交易市場TOP3周報(7.17-7.23)_比特幣股價走勢圖

【0717 - 0723】周報概要:1、上周 NFT 市場成交量大幅上升,較上周增長約 33.9%;其中 X2Y2 周成交額持續位居榜首,份額占比 47.7%.

1900/1/1 0:00:00
BTC:金色早報 | IMF:加密貨幣行業可能會變得更糟_比特幣

頭條 ▌英國法律委員會將加密貨幣視為一種新型財產金色財經報道,根據周四發布的咨詢文件,英國法律委員會希望擴大該國的財產規則,以涵蓋加密貨幣和NFT.

1900/1/1 0:00:00
WEB:Web3.0:一場概念的游戲_WEB3

專欄介紹 PingWeb3是品玩出品的關注Web3.0世界的專欄。在互聯網行業趨于平寂,人們似乎只想關心那些裁員和衰退的故事的當下,Web3.0還提醒著人們,互聯網帶來的熱鬧爭論是什么樣子.

1900/1/1 0:00:00
DEF:Bankless:一文總結EthCC(以太坊社區大會)的要點_BBANK價格

文:Donovan ChoyEthCC(以太坊社區大會)上周在巴黎成功舉辦。和巴黎的天氣一樣,活動現場也掀起了“熱浪”,許多重磅嘉賓相繼登場,為與會人員揭示有關以太坊的一切.

1900/1/1 0:00:00
NFT:web3的個人主頁長啥樣_web3.0幣怎么提現到賬號

90年代互聯網剛剛興起的時候,有了門戶yahoo,有了搜索google。在門戶和搜索之間,個人和品牌有了訴求,懂點技術的個人開始自己做個人主頁,有點錢的品牌也請廣告公司操盤品牌形象站點.

1900/1/1 0:00:00
ETC:金色趨勢丨大盤新一輪空間或將打開_加密貨幣軟件

金色晨訊|7月11日隔夜重要動態一覽:21:00-7:00關鍵詞:烏克蘭、標普500、以太坊2.0、Telegram 1.加密金融應用程序Plutus否認遭到黑客攻擊.

1900/1/1 0:00:00
ads