BTC/HKD+1.46%
ETH/HKD+2.25%
LTC/HKD+1%
DOT/HKD+0.74%
ADA/HKD+3.17%
SOL/HKD+3.47%
XRP/HKD+8.72%
DOGE/US+0.85% 
據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析
Bitfinex預計薩爾瓦多將在今年發行比特幣火山債券:1月31日消息,加密交易所Bitfinex預計,薩爾瓦多將在今年發行期待已久的比特幣火山債券,此前該國國會于去年12月批準了一項法律,允許全球首只主權區塊鏈債券發行。Bitfinex首席技術官Paolo Ardoino在接受采訪時表示,他認為薩爾瓦多有足夠的需求來發行它所尋求的全部10億美元。Ardoino說,根據新法律,薩爾瓦多現在需要建立一個數字證券監管機構,并為潛在投資者起草一份招股說明書。他補充說,Bitfinex將在其當地辦事處成立并運營后,向該國監管機構申請證券交易許可證。
此前去年3月份消息,薩爾瓦多總統確認比特幣火山債券將通過Bitfinex發行。[2023/1/31 11:38:12]
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
安全團隊:NFT項目Nasty Goons Discord服務器發布釣魚鏈接,請勿點擊:1月21日消息,據CertiK監測,NFT項目Nasty Goons的Discord服務器發布了一條釣魚鏈接,在團隊確認服務器是安全的之前,不要點擊任何鏈接。請社區用戶保持警惕。[2023/1/21 11:25:02]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:
美聯儲官員Bostic:美聯儲仍有辦法控制通貨膨脹:9月27日消息,美聯儲官員Bostic表示,需要控制通貨膨脹,在此之前金融市場將動蕩不安。美聯儲仍有辦法控制通貨膨脹。美聯儲官員定期與全球同行討論。(財聯社)[2022/9/27 22:31:35]
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
中國銀行推出“福仔”數字藏品:金色財經報道,中國銀行在首屆世界設計之都大會推出限量版“福仔”數字藏品,在中行展廳互動區可掃碼獲得,此外中國銀行還推出中銀數字人虛擬投影,這是中國銀行首次推出數字人形象技術。[2022/9/16 6:59:48]
到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
最近幣圈行情震蕩,有些人看到的是恐懼,有些人看到的是機會。如果感到恐懼,建議倉位回歸主流,并減倉到不會讓自己感到恐懼的倉位,保持理性.
1900/1/1 0:00:00V0.1Mar8,2021J.QU@LatticeXFoundation1.目標公鏈是一個開放型去中心化、同時又是一個以出塊為時間維度、以分布式存儲為物理鏡像的“離散”的世界.
1900/1/1 0:00:00上周,Cobo&魚池聯合創始人神魚做客火星財經直播,與幾位嘉賓激辯以太坊EIP1559提案利弊,探討layer2、以太坊擴容方案、鏈上治理模式、跨鏈等等,現場直播有很多干貨和見解分享.
1900/1/1 0:00:00編者按:本文來自鏈聞ChainNews,撰文:RyanWatkins,Messari分析師,翻譯:PerryWang,星球日報經授權發布.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:Coinbase,編譯:CaptainHiro,星球日報經授權發布。作為僅次于比特幣的第二大加密貨幣,以太坊不僅僅是數字貨幣,它更是數十億美元經濟的基礎.
1900/1/1 0:00:00編者:謝光武,AnchorDAO風控實驗室研究員&Arche中國負責人摘要:點對資金池模式給DeFi市場帶來新的交易范式,從借貸、現貨交易到衍生品交易.
1900/1/1 0:00:00
以太坊價格
