買以太坊 買以太坊
Ctrl+D 買以太坊
ads

USD:OUSD遭經典重入攻擊損失770萬美元 DeFi安全亟待解決_OUSD

Author:

Time:1900/1/1 0:00:00

摘要:PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到重入攻擊,造成價值770萬美元的損失。

近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊(Re-entrancyattack),造成價值770萬美元的ETH和DAI的損失。

重入攻擊是以太坊智能合約上最經典的攻擊手段之一,著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失價值5000萬美元以太幣。

自今年4月起,DeFi項目頻遭重入攻擊。4月18日,黑客利用Uniswap和ERC777標準的兼容性問題缺陷實施重入攻擊;4月19日,Lendf.Me也遭到類似重入攻擊;11月14日,黑客利用Akropolis項目的SavingsModule合約在處理用戶存儲資產時存在的某種缺陷連續實施了17次重入攻擊,損失203萬枚DAI。

以太坊2.0客戶端Lighthouse發布V2.3.0版本,修復區塊重組問題:5月30日消息,以太坊2.0客戶端Lighthouse開發團隊Sigma?Prime宣布Lighthouse發布V2.3.0版本,修復此前信標鏈發生7個區塊重組,建議立即升級。[2022/5/30 3:50:50]

北京時間2020年11月17日,PeckShield監控到穩定幣OUSD遭到重入攻擊。OUSD是OriginProtocol推出的一種與美元掛鉤的ERC-20穩定幣,用戶可通過將基礎穩定幣存入Origin智能合約來鑄造OUSD穩定幣,之后該協議會將基礎穩定幣投資于多個DeFi協議并進行收益耕作,為OUSD持有者賺取回報。

重入攻擊重現憑空創造2050萬枚OUSD

Clubhouse安卓版正式上線:5月23日消息,Clubhouse在推特上宣布,Android版Clubhouse已正式上線。[2021/5/24 22:35:57]

PeckShield通過追蹤和分析發現,首先,攻擊者從dYdX閃電貸貸出70,000枚ETH;

隨后,在UniswapV2中先將17,500枚ETH轉換為785萬枚USDT,再將所貸剩余的52,500枚ETH轉換為2099萬枚DAI;

接下來,攻擊者分四次鑄造OUSD穩定幣:

第一次通過mint函數鑄造OUSD時,攻擊者確實在Origin智能合約中存放了750萬枚USDT,并獲得750萬枚OUSD;

第二次通過mintMultiple多種穩定幣函數鑄造OUSD時,攻擊者在Origin智能合約中存放了2050萬枚DAI和0枚假“穩定幣”,并在此步驟中通過重入攻擊來攻擊合約。攻擊者將2050萬枚DAI和0枚假“穩定幣”存入VaultCore中,此時智能合約收到2050萬枚DAI,在嘗試接收0枚假“穩定幣”時,攻擊者利用惡意合約進行劫持,在智能合約正常啟動鑄造2050萬枚OUSD之前,調用mint函數,先惡意增發了2050萬枚OUSD,此次惡意增發由VaultCore合約調用rebase函數實施。

YouSwap現已進入多鏈部署測試階段,將于4月10日上線Heco:據YouSwap最新消息,平臺現已開啟Heco、BSC、OKChain部署計劃,4月進入測試階段,預計4月10日上線Heco鏈,具體時間以官網公布為準。

據悉,去中心化交易所YouSwap于3月26日,正式上線并開啟流動性挖礦,第一條公鏈搭建在以太坊網絡上,目前YouSwap流動性挖礦支持YOU/USDT、BTC/USDT、ETH/USDT、YOU/UNI、YOU/LINK、YOU/ETH6個交易對,截至31日15時,平臺挖礦產出市值總計112479.31(USDT),累積交易總額達996149.42(USDT),YOU 當前價格$0.50,漲幅達1000%。[2021/3/31 19:32:56]

YouSwap3月19日開啟平臺通證YOU第二輪IDO:據官方消息,YouSwap平臺已于2021年3月16日完成第一輪IDO,并公布將于3月19日12時左右正式開啟YOU普惠輪 Public IDO,總共50萬枚YOU限量發放。

YouSwap于2020年9月成立于美國舊金山, 是一家由舊金山、新加坡頂級極客團隊新一代鏈上去中心化交易平臺。YouSwap從成立之初,致力于打造去中心化交易所的標桿,解決目前DEX交易所功能單一、用戶體驗不佳、手續費高等行業痛點。作為新一代去中心化交易所項目,它通過構造多鏈生態的部署體系實現數字資產的跨鏈運作,為項目方提供了一鍵發幣技術支持和募資上幣服務,抵押平臺幣YOU,項目方就可以在YouSwap上“一鍵免費上幣”。[2021/3/17 18:52:28]

值得注意的是,為順利實施劫持,攻擊者在上述mint函數調用時,真金白銀地存入了2,000枚USDT,同時獲得第三次鑄幣2,000枚OUSD。隨后,調用oUSD.mint函數第四次鑄造2050萬枚OUSD。

rebase指代幣供應量彈性調整過程,即對代幣供應量進行“重新設定”。在DeFi領域有一類代幣擁有彈性供應量機制,即每個代幣持有用戶的錢包余額和代幣總量會根據此代幣價格的變化而等比例變動。此時,攻擊者共獲得2800.2萬枚OUSD,包括抵押的750萬枚USDT、2050萬枚DAI和2000枚USDT。由于調用rebase函數,攻擊者所獲得的OUSD總計上漲至33,269,000枚。

最后,攻擊者先用所獲得的33,269,000枚OUSD贖回1950萬枚DAI、940萬枚USDT、390萬枚USDC;再在Uniswap中將1045萬枚USDT兌換為22,898枚ETH,將390萬枚USDC兌換為8,305枚ETH,將190萬枚DAI兌換為47,976枚ETH,共計79,179枚ETH,并將其中70,000枚ETH歸還到dYdX閃電貸中。

據PeckShield統計,攻擊者在此次攻擊中共計獲利11,809枚ETH和2,249,821枚DAI,合計770萬美元。

對于次攻擊事件,OriginProtocol官方回應稱,正在積極采取措施,以期收回資金。

隨著DeFi生態的蓬勃發展,其中隱藏的安全問題也逐漸凸顯,由于DeFi相關項目與用戶資產緊密相連,其安全問題亟待解決。

對此,PeckShield相關負責人表示:“此類重入攻擊的發生主要是由于合約沒有對用戶存儲的Token進行白名單校驗。DeFi是由多個智能合約和應用所組成的’積木組合’,其整體安全性環環相扣,平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。”

作者:PeckShield;來自鏈得得內容開放平臺“得得號”,本文僅代表作者觀點,不代表鏈得得官方立場凡“得得號”文章,原創性和內容的真實性由投稿人保證,如果稿件因抄襲、作假等行為導致的法律后果,由投稿人本人負責得得號平臺發布文章,如有侵權、違規及其他不當言論內容,請廣大讀者監督,一經證實,平臺會立即下線。如遇文章內容問題,請發送至郵箱:linggeqi@chaindd.com

Tags:USDOUSD穩定幣USD幣USD價格OUSD價格OUSD幣為什么換穩定幣DAI穩定幣是由哪個國家提出的鑄造穩定幣

以太坊價格
AMA:庫神錢包做客萌眼財經:持幣危機?!如何保證資產安全?_40億比特幣能提現嗎

摘要:庫神錢包做客萌眼財經:持幣危機!?如何保證資產安全主持人:大家晚上好呀,歡迎大家來到今天萌眼財經的AMA分享.

1900/1/1 0:00:00
奧斯卡:南太小國貨幣寫滿奇特故事_奧斯卡幣是什么幣

貨幣如同國徽、國旗一樣,是一個國家的標志性符號。南太平洋島國雖大都是蕞爾之國,經濟欠發達,體量較小,但在貨幣設計方面卻經常出奇制勝。無論是圖案還是質地,都有獨到之處,構成了一道流動的美麗風景.

1900/1/1 0:00:00
SEA:CoinEx研究院:海洋協議(Ocean)研究報告_OCEAN價格SEA幣

一、項目概況 海洋協議是一個去中心化的AI數據交換協議,旨在通過解鎖數據的同時保護隱私來推廣AI的優勢,為數據用戶提供更公平的結果.

1900/1/1 0:00:00
TNT:7697億雙十一:頂級流量的貨幣戰爭丨百家故事_TNT幣

Billions項目組 2020年11月11日,天貓雙十一全球狂歡季成交額達到4982億人民幣,京東累計下單金額突破2715億人民幣,二者總和達到7697億元.

1900/1/1 0:00:00
IRA:國家海洋博物館與中國地質大學(北京)簽署科學文化戰略合作協議_超級比特幣

央廣網天津12月10日消息2020年12月10日,國家海洋博物館與中國地質大學簽署科學文化戰略合作協議暨自然文化研究院海洋分院揭牌儀式在國家海洋博物館舉行.

1900/1/1 0:00:00
TEC:超能課堂(253):風冷、水冷之后,“半導體制冷”能帶來PC散熱的革命嗎?_CPU

風冷以及水冷,都是大家比較熟悉的散熱模式了。其實大家平時使用的一體式水冷,其部分原理仍舊屬于“風冷”的范疇,不過是散熱器的導熱介質由熱管的“蒸發-凝結”自動循環原理,替換為依靠由水泵電機主動循環.

1900/1/1 0:00:00
ads