以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

TEAM:Team Finance被黑分析:黑客自建Token“瞞天過海”,成功套取1450萬美元

Author:

Time:1900/1/1 0:00:00

10月27日,成立于2020年的TeamFinance在官方Twitter發聲,該協議管理資金在由Uniswapv2遷移至v3的過程中遭到黑客攻擊,損失達1450萬美元。

在事件發生后的第一時間,歐科云鏈鏈上衛士團隊憑借超200TB的鏈上數據量儲備,快速對黑客地址進行數據追蹤、手法解析,并及時通過官方渠道反饋TeamFinance分析結果,避免鏈上損失態勢進一步擴大。

據鏈上衛士安全團隊分析,此次受到攻擊的項目方UniswapV2池子有CAW、TSUKA、KNDX、FEG。

英國傳奇藝術家Ralph Steadman將以NFT的形式出售插畫作品:4月22日消息,因與Hunter S. Thompson合作而聞名的前《滾石》雜志插畫師Ralph Steadman,正以NFT的形式在數字資產市場Niftygateway上出售一系列的動畫和靜態作品。此次銷售將于4月28日啟動。

據悉,該系列插畫是為了慶祝Steadman職業生涯中的關鍵時刻,包括了兩幅他與Thompson的合作有關的作品等。此次銷售NFT作品由Steadman與MTAPHR的創意團隊以及奧斯卡提名的動畫導演 Dave Mullins合作,后者負責動畫插圖的制作。原創音樂則由格萊美獎制作人 Matt Winegar提供。此外,Steadman的NFT銷售收入的一部分將捐贈給致力于減少對動物產品需求的環保組織WildAid。(RollingStone)[2021/4/22 20:46:14]

依托于區塊鏈鏈上數據可溯源、不可篡改的特性,鏈上衛士團隊將鏈上追蹤結果以圖表的方式展現,通過黑客資金流向圖,用戶可清晰地了解黑客盜取資金后的動態。

納斯達克上市公司中國茶葉品牌茗韻堂母公司Urban Tea轉型比特幣挖礦:2月17日,在納斯達克上市的中國茶葉品牌茗韻堂母公司Urban Tea宣布將在區塊鏈和加密貨幣采礦方面啟動關鍵戰略擴展,據該公司CEO透露,隨著區塊鏈技術和加密貨幣正在變得越來越普及,該公司后續還會逐漸把業務擴張到整個區塊鏈生態系統,包括加密貨幣挖礦、區塊鏈礦場建設、以及加密貨幣交易操作等。Urban Tea成立于2011年,總部位于中國湖南,擁有茶葉品牌茗韻堂,目前市值約為4500萬美元。[2021/2/18 17:25:47]

準備盜取資金的對象:即需要遷移的幣對FEG-WETH

Steam兩日后上線新游戲 提供比特幣獎勵:游戲平臺Steam將于2月20日解鎖新游戲Montecrypto:Bitcoin Enigma,該游戲由一個內含24個謎題的迷宮構成,第一個通關的玩家將獲得1個比特幣(據coinmarketcap,現價10739.2美元)的獎勵。[2018/2/18]

而取回的幣對卻是黑客創建的無價值的token0:0x2d4abfdcd1385951df4317f9f3463fb11b9a31df和有價值的token1:WETH

兩者的不一致,是導致該合約被攻擊的根本原因!

在這一步中,黑客首先通過lockToken鎖倉攻擊token,lockedToken變量會記錄鎖倉詳細信息,其中關鍵字段為withdrawAddress,該字段存在可以滿足后續migrate的權限判斷。

#Step3:

UniswapV3調用v3Migrator.migrate方法,遷移FEG-WETH流動性對。

在這一步中,UniswapV3Migrator合約在接收到TeamFinance中傳入的參數,會遷移UniswapV2的LP,燃燒LP,獲取底層資產$FEG和$WETH,根據轉換參數只有1%進入V3pool,其余99%退還給發送合約,TeamFinance將返回到token發送給攻擊合約。

Step3步驟拆解:

黑客調用TeamFinance得合約進行LP遷移,利用Step1中準備好的withdrawAddress和msgSender吻合,通過權限檢查。

由于TeamFinance的遷移邏輯沒有檢驗交易id與migrateparams的相關關系,黑客通過上面校驗后,真正遷移的是黑客輸入的params參數。

該參數指定的migrate為與黑客鎖倉token無任何關系的FEG-WETH交易對,且遷移數量為TeamFinance持有的全部LP,但參數指定只migrate1%。

此外,相同手法對其它3個流動性池進行了攻擊:

USDC到相關項目方,共計約1340萬美元。

此次攻擊事件,漏洞的本質原因是對輸入參數的校驗邏輯有問題。黑客通過鎖倉毫無價值的token,獲取了調用migrate接口的權限。進一步調用UniswapV3的migrate的參數,完全由黑客輸入,導致可以從其合約內遷移其他LP資產,結合UniswapV3的migrate處理是首先燃燒所有LP資產,再按照輸入的percentage進行遷移,并返還剩余資產,使得黑客可以通過只遷移1%資產,從而竊取剩余99%的資產。

總而言之鏈上安全無小事,歐科云鏈再次提醒:重要函數的參數校驗要仔細。建議在項目上線前,選擇類似鏈上衛士的專業安全審計團隊進行全方位審計篩查,最大化規避項目上線后的安全風險。

Tags:TEARATSTETEAMMyteamcoinPIRATE幣3X Short Stellar TokenAMAZINGTEAM幣

以太坊交易
COIN:盤中寶——市場聚焦美國非農就業報關,比特幣預計窄幅震蕩

美聯儲周三宣布連續第四次加息75個基點,并暗示短期內不會調整政策方向或者降息,鮑威爾還稱利率水平將超過此前預期。隔夜,美股周四錄得連續第四個交易日下跌。目前,市場焦點轉移到周五的非農就業報告上.

1900/1/1 0:00:00
以太坊:十個有用的加密工具和項目

下面我分享一些你可能還沒有聽說過的加密貨幣和以太坊有用的工具。有數百個甚至數千個令人敬畏的東正在構建,因此無法對它們進行排名或涵蓋所有內容,但希望您至少可以從本文中提取一件事.

1900/1/1 0:00:00
TRU:Arbitrum空投來了?承載62%的以太坊交易,引發猜測

簡單來說 在總價值鎖定方面,Arbitrum在layer-2解決方案中的市場份額為51.26%。Arbitrum似乎獲得了采用.

1900/1/1 0:00:00
INC:空投埋伏日記:Trantor、Abelfinance、AltLayer(11月3日)

熊市漫漫,熱點分散。在缺乏明確投資機會的當下,本著“寧可錯付gas,不能放過大毛”的原則,我將視線與精力投向了優質項目交互,說不定還能提前發現下一價值標的,是吧.

1900/1/1 0:00:00
TER:加密市場分析:熊市周期和加密市場突破力量

介紹 隨著市場進入第42周,我認為10月和11月是了解下一個市場周期的決定性月份。有兩種情況:最有可能的是BTC在17,000美元至18,000美元的新跌幅后突破.

1900/1/1 0:00:00
比特幣:指標科普:交易員必懂的期權波動率!下周二美期選舉用它獲利?

將在本篇帶你看懂機構投資人或量化交易者必看的指標:「波動率」,并教你如何將波動率運用在期權交易策略上.

1900/1/1 0:00:00
ads