北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。
SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
攻擊者地址:
0xa6566574edc60d7b2adbacedb71d5142cf2677fb
攻擊合約:
0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
CoinShares在德國Xetra推出兩個零管理費指數ETP:金色財經報道,CoinShares今天宣布在德國主要市場Xetra推出兩個實物支持的指數ETP:CoinShares Physical Top 10 Crypto Market ETP(代碼:CTEN)和CoinShares Physical Smart Contract Platform ETP(代碼:CSSC),管理費為零。這兩款產品都追蹤與Compass Financial Technologies合作開發的定制指數。
據悉,CoinShares是歐洲最大的數字資產投資公司,資產管理規模為22億美元。(Globe Newswire)[2023/3/27 13:28:46]
被攻擊合約:
CoinShares:上周數字資產投資產品凈流出500萬美元:10月10日消息,據CoinShares最新報告顯示,上周數字資產投資產品凈流出500萬美元,大部分來自于做空投資產品。其中比特幣投資產品凈流入1170萬美元,以太坊投資產品凈流出220萬美元。做空比特幣的投資產品凈流出1470萬美元,凈流出額創歷史新高。[2022/10/10 10:29:57]
0xdCA503449899d5649D32175a255A8835A03E4006
攻擊交易:
0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
ARK基金將與21Shares合伙申請成立比特幣ETF:Ark基金加入了向美國證交會(SEC)提交比特幣ETF申請的名單。根據SEC的文件,比特幣ETF將在芝加哥期權交易所(CBOE)的BZX交易所上市。CBOE此前已提交了多項申請,以推出類似的VanEck和WisdomTree比特幣ETF。這只ETF將包括直接持有比特幣以及跟蹤標普比特幣指數。與Ark基金合伙的21Shares是第四大加密貨幣產品發行機構,Ark基金創始人Cathie Wood也是其董事會成員之一。文件顯示,21Shares是該ETF的發起人,而Ark將支持營銷ETF股票,預計Coinbase將保管直接購買的比特幣。[2021/6/29 0:13:53]
攻擊流程:
聲音 | Kesha Ventures創始人:加密行業并購的潛力是巨大的:據Mwdium消息,Kesha Ventures創始人表示,隨著多個首次代幣發行和項目資金耗盡,創新的增長戰略正變得越來越重要。在過去的幾個月里,Kesha Ventures一直在探索加密行業里并購和增長黑客的可能性,思考如何將“真實世界”的增長策略應用于加密行業。Kesha Ventures表示,加密并購的潛力是巨大的,比如EOS收購ETH Dapp、Monero吸收Verge和Zcoin等。[2018/12/12]
(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。
(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。
(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。
(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO
(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。
(6)循環上述過程,持續獲得額外的BNO代幣
(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。
本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。
合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。
而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。
針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:
(1)在進行獎勵計算時,校驗用戶是否提取本金。
(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。
金色財經
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
▌法官裁決Ripple部分是證券 SEC訴Ripple案將進入審判階段2023年7月13日美國紐約南區地區法院法官就SEC訴Ripple案作出簡易判決(summary judgement ).
1900/1/1 0:00:00作者:David Zareh 來源:medium 編譯:金色財經,善歐巴在以太坊質押的世界中,驗證者在選擇質押方法時面臨各種限制和權衡.
1900/1/1 0:00:00近日,隨著美國聯邦法官裁定 XRP 在散戶銷售中不屬于證券,Ripple 迎來了與美 SEC 三年斗爭的短暫勝利,受此消息影響,加密市場中的諸多幣種價格出現了大幅上漲.
1900/1/1 0:00:00以太坊需要轉變的主要原因源于擴展性、安全性和隱私保護的挑戰。以太坊作為一種開放、可編程的區塊鏈平臺,不僅是數字貨幣的基礎設施,還為開發者提供了構建去中心化應用(DAPP)和智能合約的環境.
1900/1/1 0:00:00原文作者:flowie,ChainCatcher盡管 RWA 一直難逃老故事割新輪的質疑,但從年初至今,RWA 接連不斷有機構入場為其“添磚加瓦”.
1900/1/1 0:00:00Apple Vision Pro 橫空出世,根據其公開宣傳介紹,主要有以下幾個方面特征。首先,這是增強現實設備.
1900/1/1 0:00:00