以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > BTC > Info

SHARK:慢霧分析 AutoShark 被黑:黑客利用 AutoShark 策略池機制分兩步完成攻擊

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區分析,幣安智能鏈DeFi項目AutoSharkFinance被黑,導致代幣價格閃崩。慢霧團隊針對攻擊過程分析如下:

由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備,所以整個攻擊其實分成了2步,這里主要分析的是第2筆的攻擊交易。

攻擊步驟如下:

1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;

慢霧:警惕Web3錢包WalletConnect釣魚風險:金色財經報道,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。

慢霧發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]

2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;

慢霧:Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息,慢霧監測顯示,Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產,該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移;第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產;第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI,目前有約3970萬美元的加密資產。

目前慢霧經過梳理后,無法將地址3與其他兩個地址連接起來,但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;

動態 | 慢霧區塊鏈攻防對抗總結:11 月數據泄露趨勢愈發普遍:據慢霧 BTI 系統監測發現,暗網中陸續出現區塊鏈相關的數據泄露情報,包括:GateHub 140 萬用戶信息、數字貨幣交易所用戶信息等,此前 BitMex 也因工作失誤導致大量用戶郵箱信息泄露。11 月另一個重大安全事件是韓國交易所 Upbit 被黑導致 34.2 萬 ETH 從熱錢包中被盜,慢霧安全團隊懷疑該事件可能和 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。

過去數月,慢霧 BTI 系統還曾披露假充值漏洞攻擊、供應鏈攻擊、提幣地址劫持替換攻擊等,慢霧安全團隊在此提醒各項目方,做好安全漏洞自查,進一步增強人員安全意識及平臺風控體系,必要時可聯系專業的區塊鏈安全公司尋求幫助,避免遭受損失。(IMEOS)[2019/12/1]

4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;

5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;

6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;

7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;

8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;

9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。

Tags:SHAARKSHARKWBNBGanesha Tokenark幣和木頭姐有什么關系SHARK幣WBNB價格

BTC
SHI:簡述屎幣ShiB的前世今生:它是一場“關于零的社會實驗”

本文發布于吳郎公眾號。 前兩天發表了一篇關于屎幣Shib的文章,在B圈,打死也要有屎幣(SHIB);如果你還不知道什么是屎幣,或,還沒有屎幣(SHIB),那么你就只剩下:后悔!引起了社區的強烈討.

1900/1/1 0:00:00
ETI:Synthetix 創始人連環推:BSC 和 Solana 給以太坊社區敲響警鐘

本文來源于鏈聞,作者為Synthetix創始人KainWarwick,并經由PerryWang編譯.

1900/1/1 0:00:00
MES:Messari:DeFi頭部項目各指標橫向分析,TVL與價格沒有相關性

本文來自于ConanInsight,數據來源于Messari,經由Charles編譯。我們的假設是,基本面確實很重要,對協議和投資者存在一些價值.

1900/1/1 0:00:00
DAO:區塊鏈美元基金42DAO正式成立,并宣布完成近千萬美元募資

近日,區塊鏈美元基金42DAO正式成立。42DAO為設立在開曼的美元基金,擁有合規的財務管理結構和審計規則,在合規的基礎上逐步向DAO的治理方式過渡.

1900/1/1 0:00:00
加密貨幣:加密貨幣市場高歌猛進,專業投資者是如何穩定獲利的?

原文標題:《劇烈波動的牛市中,高端玩家是如何穩定獲利的?》,作者:SanatRao,加密對沖基金GammaPointCapital創始人,編譯:區塊律動在牛市中,交易者們也難免迷失方向.

1900/1/1 0:00:00
RES:上周加密市場共發生29起公開融資事件| 投融資周報

據鏈捕手不完全統計,5月24日到5月30日期間,區塊鏈行業共發生29起公開投融資事件。值得注意的是,除了DeFi、NFT板塊之外,基礎設施板塊的熱度在持續上升.

1900/1/1 0:00:00
ads