以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > SAND > Info

ABU:慢霧分析 Zabu Finance 遭閃電貸攻擊:抵押模型與 SPORE 代幣不兼容所致

Author:

Time:1900/1/1 0:00:00

鏈聞消息,2021年9月12日,Avalanche上ZabuFinance項目遭受閃電貸攻擊,慢霧安全團隊針對此過程進行分析,具體攻擊步驟如下:1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備;2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行「抵押/提現」操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中慢霧注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量;3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過「抵押/提現」操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值;4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售;此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。參考:攻擊合約1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400攻擊合約2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb攻擊交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3獲利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

慢霧:JPEG'd攻擊者或已將全部6106.75枚ETH歸還給項目方:8月4日消息,慢霧MistTrack監測顯示,JPEG'd攻擊者或已將全部6106.75枚ETH歸還給項目方。[2023/8/4 16:18:46]

BKEX入駐慢霧區,發布安全漏洞與威脅情報賞金計劃:據官方消息,為了進一步保障用戶資產安全,提高平臺安全風控等級,BKEX 入駐慢霧區,發布“安全漏洞與威脅情報賞金計劃”,嚴重漏洞最高獎勵10,000USDT.本次漏洞賞金主要針對BKEX網站及APP。[2020/8/12]

動態 | 慢霧關于 BSV 區塊異常的進一步說明:此前慢霧安全團隊披露“昨晚 BSV 區塊連續出現多次回滾(高度 578640-578645),異常區塊的交易數超多,通過慢霧安全團隊的持續監測與分析,雖然 BSV 主網之后恢復正常且這次回滾行為和之前慢霧安全團隊披露的 ETC 51% 雙花盜幣攻擊行為不一樣,出于謹慎目的,建議對接了 BSV 的交易所暫停 BSV 充提或提高確認數。”之后,通過與 BSV 社區的溝通,BSV 社區指出這是一位開發者在主網進行的一次短時生成大量交易的壓力測試,該測試導致了本次區塊深度重組事件,這種事件不會導致雙花攻擊,不會造成交易損失。通過慢霧安全團隊的進一步分析來看,慢霧安全團隊傾向認同這種“區塊重組”說法。[2019/4/19]

Tags:ABUSPORESPOPORGaburSpore Financespo幣騙局SportyCo Token

SAND
HOR:iZOBi Token (IZOBI)

一、項目介紹 iZOBi是連接自由職業者和用戶的家居勤雜工應用程序。iZOBi提供的是一種廣泛的服務,通過使用評級系統,用戶可以在提出要求之前查看勤雜工的專業水平,從而確保服務的質量.

1900/1/1 0:00:00
BIT:開啟Eternal Oasis (ETOS)交易 / 2021.9.10

親愛的BitGlobal用戶:BitGlobal將在GEM上線ETOS數位資產服務,?詳情如下充提安排:9月10日11:00(UTC8)開放立即充值>>交易時間:9月13日17:00.

1900/1/1 0:00:00
HTT:關于WBF上線FLURRY的公告

尊敬的用戶: 關于WBF在開放區掘金板塊上線FLURRY/USDT交易對,具體交易時間如下。 充值暫不開啟 提幣時間:2021/9/9?15:05交易時間:2021/9/9?15:05 項目介紹.

1900/1/1 0:00:00
NFT:泡沫太大?做空NFT的工具現在來了

回看過去的這一段時間,NFT絕對是整個加密貨幣市場上「最靚的崽」。從CryptoPunks到BAYC再到Loot,伴隨著總交易量的持續攀升以及天價成交的層出不窮,市場關于NFT的投資及討論熱情也.

1900/1/1 0:00:00
TUB:TUBE2攜手LBANK共同展望DEFI的未來!

近日,QUATRO生態內的Eswap流動性通證TUBE2,即將上線全球技術頂尖的數字資產交易平臺LBank,雙方將結合自身的優勢達成戰略合作關系,強強聯合深耕DEFI領域.

1900/1/1 0:00:00
COIN:關于Zillion礦池-FIL云算力(第10期)“越買越省”活動圓滿結束的公告

公告編號2021091101各位關心ZBG的投資者們和項目方:Zillion礦池-FIL云算力“越買越省”活動已圓滿結束.

1900/1/1 0:00:00
ads