北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。
SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
攻擊者地址:
0xa6566574edc60d7b2adbacedb71d5142cf2677fb
攻擊合約:
0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
ShapeShift創始人:中心化中介機構是 導致2022 年加密失敗的原因:金色財經報道,去中心化交易平臺 ShapeShift 的創始人 Erik Voorhees 在DC Blockchain 上表示,就負面新聞而言,過去一年是加密歷史上“最糟糕”的一年,但大多數問題是由中心化中介機構而非加密貨幣的底層技術引起。
Solidus Labs 監管事務副總裁兼前消費者金融保護局局長 Kathy Kraninger、加密貨幣交易所 Kraken 全球政策負責人 Jonathan Jachym 和去中心化交易所 dYdX 政策負責人 Rashan Colbert 在小組討論會強調需要關注 DeFi 相對于傳統金融系統的去中心化和優勢,同時呼吁清晰的溝通和強有力的政策框架。[2023/3/23 13:21:09]
被攻擊合約:
NBA巨星沙奎爾·奧尼爾推特賬戶已更名為“SHAQ.SOL”:2 月 27 日消息,NBA 巨星沙奎爾·奧尼爾將其推特賬戶更名為“SHAQ.SOL”。
此前報道,沙奎爾·奧尼爾此前曾于 2021 年 12 月 23 日將其推特賬戶更名為“SHAQ.SOL”。[2022/2/28 10:19:30]
0xdCA503449899d5649D32175a255A8835A03E4006
攻擊交易:
0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
攻擊流程:
(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。
動態 | CoinShares CSO質疑加密貨幣托管:比特幣行業最知名企業之一的一位高管警告稱,機構交易商的涌入可能不會讓比特幣(Bitcoin)受益。10月18日,資產管理公司CoinShares的首席戰略官 Meltem Demirors在接受金融新聞網絡RealVision采訪時表示,華爾街參與比特幣交易并不是一種簡單的雙贏策略。她表示:“如果我們拿走世界上50%的比特幣,把它交給監管機構保管……我們把這些比特幣放在某個(存儲)庫,然后我們向比特幣發行存托憑證,讓我們貿易潛在的比特幣存在某個庫,但我們從未交換比特幣網絡,這還是比特幣嗎?”(cointelegraph)[2019/10/21]
聲音 | ShapeShift首席運營官:監管環境變得更加嚴格和激進 但沒有帶來任何明確的結果:據ambcrypto報道,在最近的采訪中, ShapeShift首席運營官Jon表示,過去一年半來,加密(美國)監管環境變得更加嚴格和激進。與此同時,這并沒有帶來任何明確的結果。世界其他地區有興趣培育加密空間并歡迎創新。一些企業家正在考慮加密公司和政府之間的分歧,這是比特幣的一個重要標志,因為他們覺得這種緊張加劇了比特幣生態系統的日益成功。ShapeShift首席信息安全官Michael Perklin表示,盡管只有時間才能讓政府理解加密“不可阻擋”的特性,最好的解決方式是教育。[2019/8/16]
(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。
(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。
(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO
(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。
(6)循環上述過程,持續獲得額外的BNO代幣
(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。
本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。
合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。
而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。
針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:
(1)在進行獎勵計算時,校驗用戶是否提取本金。
(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。
金色財經
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
金色財經記者 Jessy五月,上線兩個月的Web3社交應用Freeper的聯合創始人大軍帶著同事在馬來西亞考察了一圈后,做出了在馬來西亞建立一個運營小分隊的決定.
1900/1/1 0:00:00作者:crypto.news;編譯:區塊鏈騎士在SEC對Coinbase提出指控的幾個小時后,該公司的首席法律官Paul Grewal迅速作出了回應,他出現在眾議院農業委員會面前.
1900/1/1 0:00:00原文來源:Trusta Labs 翻譯:星球日報 7 月 15 日.
1900/1/1 0:00:00作者:xpara,Four Pillars;翻譯:金色財經xiaozou 要點: Matterlabs是zkSync的開發公司,一直致力于開發其獨特的zkEVM、創建偉大的產品.
1900/1/1 0:00:00簡報 2023 年上半年,美聯儲 3 次加息,聯邦基金利率目標區間達到 5%-5.25%,為 2007 年 8 月以來最高,全球市場對流動性收緊的擔憂進一步加劇.
1900/1/1 0:00:00作者:JP Koning,來源:JP Koning博客;編譯:松雪,金色財經SEC 多年來一直暗示穩定幣可能是證券。我一直覺得將穩定幣當作證券進行監管的想法有點奇怪.
1900/1/1 0:00:00