北京時間2022年8月2日13點,CertiK安全團隊監測到ReaperFarm的ReaperVaultV2合約被惡意利用,導致了價值超過160萬美元的損失。
攻擊者利用ReaperVaultV2合約中的一個漏洞——可以銷毀其他用戶的vaultshare并提取代幣,以此從多個vault提取了大量的代幣。
X World Games預計第四季度推出NFT卡牌游戲Dream Card 2.0:9月10日消息,去中心化虛擬游戲元世界X World Games宣布預計將在2021年第四季度推出NFT旗下NFT卡牌游戲DreamCard2.0,新增Avatar玩家自定義頭像、武器NFT和組合遠征等全新玩法。團隊表示,截止9月10日,其發布的第一款NFT卡牌游戲DreamCard游戲注冊總用戶突破80萬,30日平均日活用戶(DAU)超5萬人次,單日游戲內PvP對戰次數高達150萬次。[2021/9/10 23:15:42]
截至北京時間2022年8月3日8點,160萬DAI、62ETH以及200Matic已被存入TornadoCash。
Cream Finance與PleasrDAO達成合作,提供350萬美元的DAO到DAO貸款:官方消息,Cream Finance與PleasrDAO達成合作,使用Iron Bank提供了首筆DAO到DAO的貸款,貸款額為350萬美元,并由一籃子基金會NFT提供支持。為了促進貸款,PleasrDAO已將其4個基金會NFT轉移到由PleasrDAO多簽、CREAM Finance多簽和Yearn Deployer持有的多重簽名錢包中。
據悉,Iron Bank由Yearn Finance和CREAM Finance聯合開發,以提供協議到協議的貸款,現在擴展到DAO到DAO貸款。[2021/7/18 1:01:01]
攻擊步驟
USDC Treasury增發1000萬枚USDC:Whale Alert監測數據顯示,北京時間3月29日11:30:04,USDC Treasury于以太坊網絡上增發1000萬枚USDC。[2020/3/29]
①攻擊者部署了一個攻擊者合約,通過該合約,攻擊者可在一次交易中從Reapervault提取多個用戶的資產。
②ReaperVaultV2合約并未檢查shareowner與messagesender之間的關系,因此攻擊者可以多次通過攻擊者合約提取vault用戶的資產。
③攻擊者將從金庫提取的代幣換成DAI、ETH和Matic,并將其存入TornadoCash。
漏洞交易
漏洞交易之一:
https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5
其余漏洞交易:
https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a
漏洞分析
在ReaperVaultV2合約的`withdraw()`函數中,vaultshare所有者可以是msg.sender以外的賬戶。同時,所有者與msg.sender之間的關系或是allowance未被選中,意味著人們可以從vault提取其他用戶的資產。
寫在最后
本次攻擊事件本可通過審計發現「缺乏訪問控制」這一風險因素。該風險因素將被歸類于嚴重等級的風險。
而除審計外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
Tags:REAULTVAULTDAOREAU價格VAULT價格SBLAND Vault (NFTX)hdao幣最新消息
8月11日晚8點,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下在BinanceLive平臺,就“創業十年.
1900/1/1 0:00:00原文作者:EthanLippman原文標題:ProductPrinciplesforNon-FinancialDecentralizedApplications 去中心化應用的現狀 對Web3的.
1900/1/1 0:00:00實驗環境 兩條平行鏈-鏈A(2008)和鏈B(2009) 一條中繼鏈 實驗目的 通過orml-xcm打開鏈A和鏈B之間的hrmpchannel 前提準備 平行鏈代理賬戶需要一定的中繼鏈token.
1900/1/1 0:00:00Qredo開創性地收購了Xena交易所的技術和團隊,為更喜歡自托管的安全性和靈活性的機構帶來了新的流動性水平。倫敦,2022年7月18日—Qredo自豪地宣布收購Xena交易所的團隊和技術.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場穩定幣日均轉賬額為7,744,444,554美元,突破77億美元! 波場TRON賬戶總數突破2900萬:2021年4月16日.
1900/1/1 0:00:00北京時間2022年7月17日,CertiK安全團隊監測到知名NFT平臺PremintNFT官網被入侵后于今日遭受黑客攻擊。導致了約37.5萬美元的損失.
1900/1/1 0:00:00