BTC/HKD+2.35%
ETH/HKD+2.8%
LTC/HKD+1.76%
DOT/HKD+7.02%
ADA/HKD+13.06%
SOL/HKD+3.99%
XRP/HKD+26.39%
DOGE/US+3.17%2020 年 11 月 30 日,據慢霧區情報,以太坊 AMM 代幣兌換協議 Sushi Swap 遭遇攻擊,損失約 1.5 萬美元。慢霧安全團隊第一時間介入分析,并以簡訊的形式分享,供大家參考。
Sushi Swap 項目中 Sushi Maker 合約的作用是用于存放 Sushi Swap 中每個交易對產生的手續費。其中手續費會以 SLP (流動性證明) 的形式存放在合約中。Sushi Maker 合約中有一個 convert 函數,用于將從每一個交易對中收集的手續費通過調用各自交易對的 burn 函數獲得對應的代幣,然后將這些代幣轉換成 sushi 代幣,添加到 Sushi Bar 合約中,為 Sushi Bar 中抵押 sushi 代幣的用戶增加收益,而此次的問題就出在 Sushi Maker 合約。
BitMEX聯創Arthur Hayes向Coinbase轉入約7.5 萬枚USDC:金色財經報道,據Lookonchain監測,BitMEX聯創Arthu rHayes于北京時間今日12:00左右向Coinbase轉入約7.5萬枚USDC,此前其曾在推特表示計劃購買一些山寨幣。據Lookonchain統計,目前Arthur Hayes控制的0xA86e開頭和0x534A開頭地址中,持有的代幣包括以太坊、GMX、ENS、LOOKS、WILD、FXS以及SUSHI等,總價值近3000萬美元。[2023/6/7 21:21:53]
1、攻擊者選中 Sushi Swap 中的一個交易對,如 USDT/WETH,然后添加流動性獲得對應的 SLP (USDT/WETH 流動性證明,以下簡稱 SLP),使用獲得的 SLP 和另外的少量 WETH 創建一個新的 Sushi Swap 交易對,然后得到新代幣池的 SLP1 (WETH/SLP(USDT/WETH) 流動性證明,以下簡稱 SLP1)轉入 ?Sushi Maker 合約中。
Celsius在Lido V2上線前轉移價值7.81億美元的stETH:5月16日消息,加密借貸公司Celsius在剛啟用提現功能的Lido V2上線前,將其持有的428,015枚stETH(價值為7.81億美元)轉移到Lido staked Ethereum錢包地址。鏈上數據表明Celsius在幾小時后執行了0.1stETH的測試提取。(Cointelegraph)[2023/5/16 15:05:37]
2、調用 Sushi Swap 的 convert 函數,傳入的 token0 為第一步獲得的 SLP,token1 為 WETH。調用 convert 函數后,Sushi Maker 合約會調用 token0 和 token1 構成的代幣池的 burn 函數燃燒 SLP1,燃燒掉攻擊者在第一步中打入 Sushi Maker 合約中的 SLP1,得到 WETH 和 SLP。
匯豐控股CEO:沒有計劃進入加密貨幣交易領域:金色財經報道,匯豐控股(HSBC.N)CEO表示,沒有計劃進入加密貨幣交易領域,從行為風險的角度來看,向大眾市場出售加密貨幣有困難。(金十)[2022/12/1 21:16:03]
3、 Sushi Maker 合約的 convert 函數緊接著會調用內部的 _toWETH 函數將 burn 獲得的代幣轉換成 WETH,由于在第二步 Sushi Maker 合約通過 burn 獲得了 SLP 和 WETH。其中 WETH 無需轉換,只需轉換 SLP。此時,轉換將會通過調用 SLP/WETH 交易對進行轉換,也就是攻擊者在第一步創建的交易對。由于 Sushi Maker 合約在轉換時會將所有的 balanceOf (token0) 轉換成 WETH,這里傳入的 token0 為 SLP,于是合約將合約中所有的 SLP 通過 SLP / WETH 交易對進行兌換 (兌換的 SLP 包含 USDT/WETH 交易對每次 swap 產生的收益和在第二步合約通過 burn 函數獲得的 SLP )。而 SLP / WETH 代幣池是攻擊者創建的,攻擊者只需在初始化的時候添加少量的 WETH,就可以在 Sushi Maker 交易對進行兌換的過程中,用少量的 WETH 換取 Sushi Maker 合約中對應交易對的所有的 SLP。
美股期貨悉數轉漲,道指期貨漲0.28%:9月22日消息,美股期貨悉數轉漲,道指期貨漲0.28%,標普500指數期貨漲0.13%,納指期貨漲0.06%。此前標普500指數期貨和納指期貨均跌1%。[2022/9/22 7:13:50]
4、攻擊者使用 burn 函數在 SLP/WETH 交易對中燃燒掉自己的 SLP1, 拿到大量的 SLP 和小量的 WETH,并繼續對其他流動性池重復該過程,持續獲利。
攻擊者使用 SLP 和 WETH 創建一個新的代幣池,使用新代幣池的 SLP1 在 Sushi Maker 中進行 convert,使用少量的 SLP 將 Sushi Maker 合約中的所有 SLP 轉到自己創建的代幣池中,即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程,持續獲利。
By :??yudan@慢霧安全團隊
這篇文章目的是描述出為什么以太坊仍然是能讓人們擁有、獲取、出售、交易、展示及創造NFT的重要區塊鏈技術。每個話題都可以輕松地成為一篇更深入的文章,但是該篇的目的是拋磚引玉,讓人們討論起來.
1900/1/1 0:00:00近日,DeFi借貸協議Akropolis遭到網絡黑客的攻擊。Akropolis創始人兼首席執行官Ana Andrianova表示,攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊,造成了200.
1900/1/1 0:00:00近日預言機項目API3以ChainLink勁敵頭號大殺四方,在宣布獲得Pantera Capital、Plaeholder、Accomplice、CoinFund、Digital Currenc.
1900/1/1 0:00:00據TheBlock分析稱,自10月中旬中國礦工發生對峙以來,Filecoin的總有效算力增長了40%以上,對峙導致網絡區塊獎勵升級和FIL貸款激增.
1900/1/1 0:00:00隨著區塊鏈技術在金融領域的不斷推進,本周,建行又傳出大動作,建行計劃與香港金融科技公司Fusang合作,通過建設銀行馬來西亞納閩分行發售數字債券,成為國內首家利用數字代幣發行美元債券的銀行.
1900/1/1 0:00:00文章系金色財經專欄作者炊事團團長供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00
買以太坊
