以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 波場 > Info

USD:慢霧:Poly Network被黑并非keeper私鑰泄露,而是跨鏈合約keeper可被修改

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,跨鏈互操作協議PolyNetwork遭到黑客攻擊,共計超6.1億美元轉出至3個地址,受此影響導致O3Swap跨鏈池大額資產被轉出。對此,慢霧安全團隊發布分析報告表示,這種攻擊主要是因為EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改,EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。

慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

因此,攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper,并非由于keeper的私鑰泄露而發生此事件。

慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

慢霧:Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋,Moonbirds 發布安全公告,Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣,而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

Tags:USDWBTBTCWBTCusd幣是什么意思WBT價格UBTC價格wbtc幣發行價

波場
VER:五分鐘讀懂 Divergence:利用高度「定制化」的期權產品進行風險對沖

文章來源于鏈聞ChainNews,作者是?Groot.5·19歷史性的加密貨幣市場崩盤式下跌帶來了中心化交易所巨額資金爆倉并徹底點燃了市場關于牛市終結討論熱度的同時.

1900/1/1 0:00:00
數字資產:一文讀懂全球加密市場監管具體政策及演變趨勢

本文系鏈捕手原創文章,作者為RichardLee、布蘭。近期,加密市場監管成為加密行業內外部最為關注的話題之一,以美國為代表的多個國家紛紛加大了對加密市場的監管力度.

1900/1/1 0:00:00
DEFI:神魚:個人和機構玩家如何在 DeFi 領域安全增值,科學避雷

來源:CoboLabs 撰文:神魚(毛世行)、蔣長浩、LilyZhuoCoboCOO、AlexZuoCoboLabs是亞太最大的加密貨幣托管平臺.

1900/1/1 0:00:00
LUM:美國參議院投票贊成對加密貨幣行業實施稅收制度,后將進行30小時的辯論

鏈捕手消息,美國參議院以68-29的壓倒性優勢投票贊成拜登總統基礎設施法案中的Warner-Sinema-Portman的修正案.

1900/1/1 0:00:00
NFT:深度解析BAYC :超越數字收藏品本身價值的邏輯體系

本文來源于星球日報 寫在前面:如今,NFT?價格已不是評估和衡量NFT價值的唯一方法,有時,構筑一個讓SuperFansorClubMembers深度參與的獨特體系可以遠遠超越數字收藏品本身的價.

1900/1/1 0:00:00
MEV:MEV 的劇本走向:僵局、停戰還是將續寫無止境的傳奇?

來源:doseofdefi.substack.com撰文:ChrisPowers,DXdao核心貢獻者編譯:PerryWang.

1900/1/1 0:00:00
ads