以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > XMR > Info

BNB:安全機構:AutoShark Finance 閃電貸事件分析

Author:

Time:1900/1/1 0:00:00

幣安智能鏈DeFi項目AutoSharkFinance遭到攻擊,導致代幣價格閃崩。慢霧安全團隊對此次事件進行了跟進分析,慢霧表示,由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備,所以整個攻擊其實分成了2步,這里主要分析的是第2筆的攻擊交易。

攻擊步驟如下:

1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;

安全機構:幣安在Curve發起的將wBETH添加到Gauge Controller提案存在潛在風險:5月4日消息,據區塊鏈安全機構 Supremacy 監測,幣安在 Curve 發起的將 wBETH 添加到 Gauge Controller 的提案存在一個潛在風險,BNBChain 平臺的 WrapTokenV1BSC 合約中有一個特性可以轉移所有 ETH Reserve,這是一個單簽名 EOA 賬戶,這意味著私鑰泄露或內部作惡可能會導致非常嚴重的后果。

幣安反饋該賬戶的私鑰由財務部門控制,具有一定的安全性,因此可以降低風險。但 Supremacy 仍然認為在代碼層面存在中心化風險。[2023/5/4 14:43:04]

2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;

安全機構:TempleDAO攻擊者開始通過Tornado.cash轉移資金:10月16日消息,PeckShield表示,TempleDAO攻擊者開始通過Tornado.cash轉移資金。

此前消息,TempleDAO項目遭受黑客攻擊,涉及金額約236萬美元。[2022/10/17 17:28:18]

3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;

安全機構:BSC鏈上Cupid代幣合約遭受閃電貸攻擊分析:8月31日消息,據Beosin EagleEye平臺監測顯示,BSC鏈上Cupid代幣合約遭受閃電貸攻擊,Beosin安全團隊分析發現,Cupid合約0x40c994299fb4449ddf471d0634738ea79c734919有一個獎勵的邏輯漏洞,擁有USDT/VENUS的LP代幣可以得到Cupid代幣,攻擊者利用閃電貸貸出USDT,購買VENUS代幣,抵押后得到LP代幣,把LP發到多個地址后通過調用被攻擊合約的0xe98bfe1e()函數claim得到Cupid代幣,獲得Cupid代幣后拋售獲利78,623 USDT。[2022/8/31 13:00:41]

4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;

5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;

6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;

7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;

8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;

9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。

Tags:SHARKARKSHABNBYearn Shark FinanceMARKO幣shadowfi幣處理結果bnbplant靠譜嗎

XMR
CUP:安全機構:DAO機制是穩定幣項目TSD被攻擊的主要原因

安全機構CertiK發布《不借助漏洞的攻擊?TrueSeigniorageDollar攻擊事件分析》表示,穩定幣項目TrueSeigniorageDollar攻擊事件中.

1900/1/1 0:00:00
比特幣:最高法、最高檢和部針對電信網絡詐騙刑事案件出臺的意見談及虛擬貨幣

最高人民法院、最高人民檢察院和部聯合發布了《最高人民法院、最高人民檢察院、部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》,其中幾處談及到了虛擬貨幣.

1900/1/1 0:00:00
TAL:穩定幣零滑點兌換協議Smoothy完成240萬美元私募融資,Hashkey等參投

單池低費零滑點高質押收益穩定幣零滑點兌換協議Smoothy宣布完成240萬美元私募融資,Hashkey、DeFianceCapital、AscendEX、SparkDigital、BTC12、S.

1900/1/1 0:00:00
API:太和資本宣布戰略投資去中心化算力協議HashMix

太和資本宣布戰略投資去中心化算力協議HashMix。此前,太和資本宣布協議實驗室ProtocolLabs合作推出規模為10萬FIL的Filecoin生態基金Ti-21-FIL,此次投資正是由此生.

1900/1/1 0:00:00
CCA:Occam與Changelly孵化項目deFIRE公布白名單KYC驗證要求,將于5月21日進行IDO

Cardano的首個一站式DeFi平臺Occam.fi與Changelly合作孵化的去中心化交易聚合器deFIRE將于5月21日在OccamRazer進行IDO.

1900/1/1 0:00:00
ITA:DeFi借貸市場Moma Protocol完成數百萬美元融資,Fundamental Labs和SevenX Ventures領投

官方消息,DeFi借貸市場創新型解決方案MomaProtocol完成數百萬美元融資,本輪融資由FundamentalLabs和SevenXVentures領投.

1900/1/1 0:00:00
ads