買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 酷幣 > Info

KEN:慢霧:假錢換真錢 揭秘 Pickle Finace 被黑過程_IDC Token

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2020 年 11 月 22 日,以太坊 DeFi 項目 Pickle Finance 遭受攻擊,損失約 2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程

1、項目的 Controller 合約中的 swapExactJarForJar 函數允許傳入兩個任意的 jar 合約地址進行代幣的兌換,其中的 _fromJar, _toJar, _fromJarAmount, _toJarMinAmount 都是用戶可以控制的變量,攻擊者利用這個特性,將 _fromJar 和 _toJar 都填上自己的地址,_fromJarAmount 是攻擊者設定的要抽取合約的 DAI 的數量,約 2000萬 DAI

慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

2、使用 swapExactJarForJar 函數進行兌換過程中,合約會通過傳入的 _fromJar 合約和 _toJar 合約的 token() 函數獲取對應的 token 是什么,用于指定兌換的資產。 而由于 _fromJar 合約和 _toJar 合約都是攻擊者傳入的,導致使用 token() 函數獲取的值也是可控的,這里從 _fromJar 合約和 _toJar 合約 獲取到的 token 是 DAI,。

慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]

3. 此時發生兌換,Controller 合約使用 transferFrom 函數從? _fromJar 合約轉入一定量的的 ptoken,但是由于 fromJar 合約是攻擊者控制的地址,所以這里轉入的 ptoken 是攻擊者的假幣。同時,因為合約從 _fromJar 合約中獲取的 token 是 DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣 然后轉到 Controller 合約中。在本次的攻擊中,合約中的 DAI 不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的 2000萬 DAI?

慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

4. 兌換繼續,Controller 合約在從策略池里提出 DAI 湊夠攻擊者設定的 2000萬 DAI后,會調用 _fromJar 的 withdraw 函數,將攻擊者在第三步轉入的假 ptoken burn 掉,然后合約判斷當前合約中 _toJar 合約指定的 token 的余額是多少,由于 _toJar 合約指定的 token 是 DAI,Controller 合約會判斷合約中剩余 DAI 的數量,此時由于 第三步 Controller 合約已湊齊 2000萬DAI,所以 DAI 的余額是 2000萬。這時 Controller 合約調用 _toJar 合約的 deposit 函數將 2000萬 DAI轉入攻擊者控制的 _toJar 合約中。到此,攻擊者完成獲利

總結:此次攻擊中,攻擊者通過調用 Controller 合約中的 swapExactJarForJar 函數時,偽造? _fromJar 和 _toJar 的合約地址,通過轉入假幣而換取合約中的真 DAI,完成了一次攻擊的過程。

Tags:JARDAIROMKENJAR幣ADAI幣ROM幣IDC Token

酷幣
ECOIN:探索者科技董事長尹曉剛:市場高點仍未到來 礦工前期拋售FIL可能性不大_NEODOGECOIN

數據顯示,10月15日上線的去中心化存儲區塊鏈目前的有效算力為945.70PiB,而在10月19日左右,當中國多數Filecoin礦工停止了增長計劃時,該區塊鏈的有效算力為600 PiB.

1900/1/1 0:00:00
以太坊:為什么以太坊2.0信標鏈主網正式啟動而ETH價格卻大幅下跌?_COI

在最近的回調中,以太坊的原生加密貨幣以太坊(ETH)的價格比比特幣(BTC)的下跌幅度更大。在達到Coinbase的歷史新高后,比特幣的價格在幾個小時內急劇下跌了9%以上.

1900/1/1 0:00:00
ORE:2000萬數字人民幣消費紅包 預約正式開啟(含攻略)_btc百度百科

“雙12蘇州購物節”重磅活動——數字人民幣消費紅包來了! 總額2000萬元 單個金額200元 紅包數量共計10萬個 激動不激動?幸福不幸福?這么好的福利,該如何操作呢? 別眨眼.

1900/1/1 0:00:00
ORA:預言機:區塊鏈與現實世界交互的中間件_區塊鏈

預言機的英文是Oracle,原意為神諭,起源于14世紀晚期,它是公眾討論可信知識的來源。就像專家和技術知識一樣,神諭根植于早期民主議會的審議和決策過程中.

1900/1/1 0:00:00
BER:持續煥新 CyberVein全球版官網今日重磅上線_CyberDoge

致CVT的全球用戶與社區成員:感謝大家一直以來對CyberVein的關注與支持!為適應全球發展的需要,擴大品牌影響力,發揮網絡對外宣傳和溝通交流的作用.

1900/1/1 0:00:00
COIN:彭博社:2021年比特幣價格可能達到5萬美元_CoinSale Token

彭博社在本月的加密市場月度報告中表示,2021年比特幣價格可能達到5萬美元。報告認為,對于比特幣來說,目前上漲是阻力最小的路徑。到2021年,這種加密貨幣的價值可能會比目前的價值高出一倍以上.

1900/1/1 0:00:00
ads