以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > UNI > Info

Terra:損失近2070萬美元 防不勝防?Popsicle Finance被攻擊事件全解析

Author:

Time:1900/1/1 0:00:00

8月4日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,跨鏈收益率提升平臺Popsicle Finance下Sorbetto Fragola產品遭到攻擊,導致了約2070萬美元的損失,攻擊者共獲利2.6K WETH,5.4M USDC,5M USDT,160K DAI,10K UNI,和96 WBTC。

攻擊如何發生 Event overview

首先,跟我們了解一下Popsicle Finance是什么?

這是一個很有意思的項目,主要做跨鏈流動性挖礦。在DeFi 大熱的時候,大家都在找流動性挖礦的機會,希望讓自己的資產收益最大化。但因以太坊主網 gas 費用居高不下,給了二層、側鏈、其他區塊鏈迅速發展壯大的機會。在多鏈時代下,Popsicle Finance就在這樣的背景下誕生了。

慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

在遭到黑客攻擊后,Popsicle Finance團隊成員立即發推表示,目前僅有 Sorbetto Fragola 一款產品受到影響。團隊將在幾周內修復漏洞并對用戶損失進行賠償。

攻擊者如何得手 Event overview

Terraport項目疑似遭遇攻擊,損失近400萬美元:4月10日消息,Terra Classic獨立開發團隊 TerraCVita推出的去中心化金融項目Terraport遭到黑客攻擊,其所有流動性都被耗盡。Terra Finder數據顯示,價值近400萬美元的LUNC、USTC和TERRA代幣已被清空。攻擊者在第一筆交易中提取了9,148,426枚TERRA哥151億枚LUNC,并在第二筆交易中提取了576,736枚TERRA、5,487,381枚USTC。

Terraport智能合約目前持有價值362美元的280萬枚LUNC。截至發稿時,TerraCVita和Terraport團隊尚未發表任何官方聲明,這引發了人們猜測這可能是黑客攻擊或精心設計的Rug Pull計劃。

TerraCVita核心團隊成員Classy Crypto在推特上證實了此次攻擊事件,但其與該事件保持距離,稱其沒有獲得任何代幣或補償,且他的親戚因此事件損失了數千美元。他還刪除了之前所有關于Terraport的推文,并在推特簡介中刪除與TerraCVita的從屬關系。[2023/4/10 13:54:38]

攻擊者地址:

澳大利亞2019年在加密貨幣騙局中損失近1500萬美元:金色財經報道,2019年,澳大利亞提交了1810份與加密貨幣相關的騙局報告,總價值超過2160萬澳元(約1490萬美元)。根據澳大利亞競爭與消費者委員會下屬機構Scamwatch的研究,年齡在25至34歲之間的澳大利亞年輕人是受加密投資騙局影響最大的群體。報告指出,云加密挖礦成為常見的騙局,其中大多數是龐氏騙局,不涉及真正的加密貨幣。[2020/6/23]

0xf9E3D08196F76f5078882d98941b71C0884BEa52

攻擊合約:

A:

0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6

B:

0x576Cf5f8BA98E1643A2c93103881D8356C3550cF

C:

動態 | 加密貨幣采礦公司Hut 8 2018年總損失近1.4億美元:據Cointelegraph消息,根據5月6日加密貨幣采礦公司Hut 8發布的年度收益報告,2018年Hut 8收入接近5000萬美元,但總損失近1.4億美元。該公司高管稱,隨著時間進入2019年,公司將繼續謹慎、專注地管理運營。2018年底進行了削減成本的舉措,將把握比特幣價格上漲機遇提高利潤率。[2019/5/8]

0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8

攻擊交易:

0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc

攻擊者使用相同的攻擊方式獲利了多種代幣,以下以USDT為例分析:

Round 1

攻擊者使用合約A通過閃電貸獲取USDT和ETH。

動態 | 日本交易所Zaif因黑客攻擊損失近6000萬美元:據zdnet報道,日本加密貨幣交易所Zaif今天宣布,在今年夏天的黑客攻擊中損失了價值5967萬美元的公司和用戶資金。該公司于9月17日發現,在一天后確認了這一情況,并向當局提出并報告。目前調查人員仍然在收集細節,但Zaif表示,黑客攻擊發生在9月14日,更準確地說是當地時間17:00到19:00之間,當時攻擊者從該公司的“熱錢包”中偷走了三種的加密貨幣,分別為BTC、BCH及MonaCoin。Zaif團隊今天早些時候暫停了用戶存取服務,而工作人員正在確保黑客已不再其網絡中。[2018/9/20]

Round 2

通過合約A調用SorbettoFragola的deposit函數獲取憑證代幣PLP。

Round 3

將PLP發送給合約B并執行SorbettoFragola的collectFee函數,這時輸入的amount均為0,更新合約B的獎勵參數。之后將PLP發送到合約C,進行同樣的操作。合約C完成操作后將PLP發送回合約A。

因為合約B、C持幣,所以會計算更新其獎勵(不隨代幣轉移清空),更新后的數值如下圖所示:

Round 4

合約A執行SorbettoFragola的withdraw函數,銷毀PLP代幣。取出本金后更新相關參數為最新。

Round 5

接著合約B與合約C再度執行collectfee函數。

輸入的amount為上面更新后的數值tokenReward。

這時因為滿足此處條件,所以會到pool地址(UNIV3的對應交易對地址)去移除流動性,并將代幣發送給合約B、C。

Round 6

合約C再次調用collectfee函數獲利。

此時amount如下圖所示:

最后,滿足調用pay函數的條件,通過pay函數向合約C發送代幣。

事件復盤

我們需要注意什么 Case Review

Popsicle Finance最初管理的是跨鏈流動性,于6月26日推出Sorbetto Fragola 以管理Uniswap v3流動性。

項目方應該也沒有預料到,黑客會在今日進行攻擊,導致了約2070萬美元的損失。可見,安全預判是多么重要。

注意

成都鏈安在此建議,對于項目方而言,在PLP轉移時,應該重新計算并更新PLP發送方與接收方的獎勵值,避免獎勵重復發放。此外,項目的邏輯缺陷一定要得到重視。

Tags:TERTerraUND加密貨幣TERCterra幣價格fund幣圈數字人民幣是加密貨幣嗎

UNI
DFI:詳解Dfinity官網Grant展示項目

自6月15號以來托管在Dfinity主網的容器數量增長10倍,處理的區塊消息也突破了6000萬塊,主要得益于公共子網的開放,早期主網上線因整體網絡容量有限,托管的容器需要經過白名單許可.

1900/1/1 0:00:00
ETH:Lodestar 發布Eth2輕客戶端原型

Lodestar 是 ChainSafe 的 Eth2 客戶端,用 Typescript 構建。Lodestar 提供高度可訪問的工具庫,使整個 Eth2 生態系統受益.

1900/1/1 0:00:00
SYNC:了解Layer 2 解決方案zkSync:有何優勢?如何運作?

什么是 zkSync zkSync是一個二層擴展解決方案,它能提供比以太坊主鏈(Layer 1)更便宜和快速的交易。二層解決方案將大部分活動從一層移走,同時仍然保持了其安全性和最終結果.

1900/1/1 0:00:00
UCO:Kucoin:Ergo區塊鏈是去中心化金融合約的Layer 1協議

據Kucoin(庫幣)官網文章介紹,Ergo區塊鏈(ERG)是去中心化金融合約的Layer 1協議.

1900/1/1 0:00:00
BIT:即將上線的Arbitrum One會為以太坊帶去什么?

5月29日,Arbitrum的主網測試版Arbitrum One上線。截至目前,74個項目已經部署完畢,就等待Arbitrum One的主網于8月底上線(list上的項目還在不斷增加).

1900/1/1 0:00:00
PUNK:深度解析全球首個社區創作驅動的NFT收藏品OpenPunks

NFT本身是一個將區塊鏈應用落地與現實世界對接的一個入口,因此我們不能用「傳統」眼光去審視這一新興領域.

1900/1/1 0:00:00
ads