以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > LTC > Info

DAI:慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取

Author:

Time:1900/1/1 0:00:00

12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1.Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行NativeToken兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標Router是否在協議的白名單中。2.經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。3.不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。4.惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。

慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。

5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

慢霧:BTFinance被黑,策略池需防范相關風險:據慢霧區情報,智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析,本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒,近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題,必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]

慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

Tags:USDDAISDCUSDCGate USDTRENDAIusdc幣是什么幣PCUSDC幣

LTC
APPLE:瘋狂的2022:盤點本年度鏈上六起「最大」事件

原文標題:《?2022BlockchainAwards》原文作者:ConorGrogan,Coinbase戰略主管;前橋水基金經理 原文編譯:czgsws 2022鏈上遠比以往瘋狂.

1900/1/1 0:00:00
SIL:調查人員展示糟糕的加密貨幣交易所KYC如何為犯罪分子提供支持

簡單來說 AureliusCapitalValue質疑Silvergate與HuobiGlobal的合作關系,后者被證明KYC政策不佳.

1900/1/1 0:00:00
GAT:量化跟單優質策略公開

Gate.io量化跟單平臺優質策略即日起定期公開!點擊進入量化跟單:穩健量化,贏在長期!Gate.io量化跟單是用戶可自由創建自動交易策略或者復制策略的量化策略交易工具.

1900/1/1 0:00:00
DAI:明星項目周報 | Sui基金會重申暫無空投計劃;Polygon推出第二個zkEVM公共測試網(12.19-12.25)

12?月?19日-12?月25日當周,比較值得關注的動態如下:Sui?基金會重申暫無?Token?空投計劃;Aptos?將在明年二季度初設計把存儲和執行成本分開的?Gas?模型;Avalanch.

1900/1/1 0:00:00
CRYP:借32雙慧眼,望穿Crypto的2023

2022年已經步入了尾聲。回看過去的這一年,幣價持續走低,鏈上數據大幅縮水,FTX、三箭、Terra等曾經叱咤風雨的巨無霸們也已轟然倒下,下行與墜落似乎成為了行業的“主旋律”.

1900/1/1 0:00:00
BNB:美 SEC:FTX 對 Dave 和 Mysten Labs 的投資若來自客戶資金,可作為客戶資產追回

ForesightNews消息,據CNBC報道,美國證券交易委員會表示SBF通過FTX子公司使用客戶資金進行了兩項1億美元的風險投資,分別為Dave和MystenLabs.

1900/1/1 0:00:00
ads