據慢霧區消息,2021年2月13日,以太坊DeFiAlphaFinance遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式分享給大家,供大家研究。
1.攻擊者用一部分的WETH在UniswapWETH-UNI池子上添加流動性,再把一部分的WETH兌換成sUSD并在Cream中添加流動性獲得cySUSD憑證。
2.攻擊者通過AlphaHomoraV2從IronBank借出sUSD,并將LP抵押到WERC20中為后面開杠桿做準備。
Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]
3.攻擊者再通過AlphaHomoraV2將上一步借出的sUSD歸還給IronBank。
安全團隊:Audius項目惡意提案攻擊簡析,攻擊者總共獲利約108W美元:7月24日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下:攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址,隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過,該提案允許向攻擊合約轉賬1,856w個AudiusToken,隨后攻擊者將獲得的AudiusToken兌換為ETH,總共獲利約108W美元,目前獲利資金仍然存放于攻擊者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
4.上面幾步似乎只是試探。
安全公司:Starstream Finance被黑簡析:4月8日消息,據Agora DeFi消息,受 Starstream 的 distributor treasury 合約漏洞影響,Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數,此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時,StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。
2. 新的 DistributorTreasury 合約中存在 execute 函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。
3. 攻擊者將 STARS 抵押至 Agora DeFi 中,并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]
5.隨后攻擊者開始利用AlphaHomoraV2的杠桿借貸從IronBank中循環借出sUSD,每次借出數量都是上一次的一倍,最后將借出的sUSD再轉到Cream中添加流動性獲得cySUSD憑證。
6.之后攻擊者不滿足于這種低效的杠桿循環借貸疊cySUSD的方式,開始使用閃電貸加快速度。
7.攻擊者開始從AAVE中閃電貸借出180萬USDC,并通過Curve將USDC兌換成sUSD,這時候攻擊者就拿到了大量的sUSD了。
8.隨后攻擊者先用sUSD到Cream中添加流動性,并獲得cySUSD憑證,再開始繼續使用AlphaHomoraV2的杠桿借貸從IronBank中循環翻倍的借出sUSD,最后利用借出的sUSD去歸還閃電貸。(償還的閃電貸中有包含先前幾步的一部分sUSD作為利息,因為最后一步借出的不足以還貸,但都是拿從Alpha借的去還的)?
9.重復上一步,閃電貸借出1000萬USDC,換成sUSD,先添加在Cream中,添加9,668,335的流動性拿到cySUSD,再繼續杠桿借貸,最后翻倍到10,088,930應該基本把池子借空了。然后開始重復添加流動性,獲取cySUSD。最后再去歸還閃電貸。
10.再閃電貸借出1000萬,再重復添加流動性與借貸,獲取cySUSD并歸還閃電貸。
11.由于經過以上步驟攻擊者已獲得大量cySUSD,因此攻擊者開始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。
總結:攻擊者使用閃電貸到AlphaFinance中進行杠桿借貸,并使用AlphaFinance本身的CreamIronBank額度來歸還閃電貸,在這個過程中攻擊者通過在Cream添加流動性獲得了大量的cySUSD,使攻擊者得以用這些cySUSD在CreamFinance中進行進一步的借貸。由于AlphaFinance的問題,導致了兩個協議同時遭受了損失。
觀點|以太坊狀態規模管理諸提議從狀態樹上移除vs.給狀態樹安排一個“退休”部分另一個區分不同狀態過期提議的技術角度是“一樹流”和“二樹流”.
1900/1/1 0:00:00ps:頭圖展示為“去中心化網絡的抽象概念”如果我們深入layer2和layer1的技術邏輯,可能會發現:有些DeFi適合在layer1擴容,選擇以“分片”技術見長的Radix、Near.
1900/1/1 0:00:00本文來源:中金網 以預測2008年金融危機而聞名的對沖基金經理MichaelBurry警告說,政府可能會在通脹危機中“打壓”比特幣甚至黃金以保護本國貨幣.
1900/1/1 0:00:00“以太坊創始人 V神在推特上介紹了以太坊信標鏈第一個硬分叉升級提案。V神稱,HF1添加了輕客戶端支持,簡化了規范,提高了效率,并引入了懲罰性較小的不活躍懲罰機制.
1900/1/1 0:00:00這是白話區塊鏈的第1261期原創?作者|五火球教主出品|白話區塊鏈年初的時候,算法穩定幣的熱潮,來得快,走得也快.
1900/1/1 0:00:00本文作者:周子衡,來源:微信公眾號“變軌賬戶” 比特幣價格接續走高,價格突破了5萬美元,更逼近6萬美元的門檻,總市值超過1萬億美元,它是否正在成為一頭“灰犀牛”?作為數字資產.
1900/1/1 0:00:00