PAC:慢霧發布DFX Finance攻擊事件簡析

據慢霧安全團隊情報，今日ETH鏈上的DFXFinance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊對此事件進行的分享如下：

1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢；2.緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款；3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證；4.由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查；5.最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利。

慢霧：警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報，在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置，經多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響，并盡快升級新版本。[2021/12/10 7:30:00]

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

參考攻擊交易：

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

https://etherscan.io/tx/0x6bfd9e286e37061ed279e4f139fbc03c8bd707a2cdd15f7260549052cbba79b7

此前，派盾曾報道稱DFXFinanceDEX池疑似被攻擊，損失約3000ETH，和上述分析數據有差異。

Tags：ACHPACCHEAPACHEgtachainPAC價格Alchemixapache幣怎么賺錢

歐易交易所app官網下載