2023年4月28日,據Beosin-EagleEye態勢感知平臺消息,0vixProtocol項目遭受閃電貸攻擊,損失約為200萬美元。0VIX在Twitter上證實了此次攻擊,并表示“正在調查當前情況”。
Beosin安全團隊第一時間對事件進行了分析,結果如下。
Zigzag:因UST脫錨導致自有基金做市商損失2000萬美元:6月24日消息,去中心化交易協議Zigzag官方發文對代幣經濟模型進行詳細介紹,57%代幣用于金庫,30%代幣用于創始團隊,10%用于保險基金,2%用于IDO。同時該項目表示,在UST脫錨事件中,其自有基金將UST與ETH、WBTC等幣種組LP,導致其做市商虧損2000萬美元。
為了彌補其損失,該團隊將10%的代幣存入保險基金,并預計在2年內進入流動市場。[2022/6/24 1:29:51]
事件相關信息
攻擊交易
0x10f2c28f5d6cd8d7b56210b4d5e0cece27e45a30808cd3d3443c05d4275bb008
CoinShares因UST崩盤損失2140萬美元:金色財經報道,加密資產管理公司CoinShares周一發布2021年年度報告。報告中顯示,其針對UST的投資敞口出現了1700萬英鎊(2140萬美元)的“異常”虧損。
該公司首席執行官Jean-Marie Mognetti在報告中表示:“我們在清算UST頭寸的DeFi活動中計入了1700萬英鎊的異常虧損。”他補充說,這是一次“令人羞愧的教訓”。
根據IFRS編制的數據顯示,CoinShares在2021年全年的凈虧損從14億英鎊擴大到24億英鎊,盡管營收增長了四倍多。
凈虧損主要是由于金融工具的損失。該公司指出,根據IFRS準則,數字資產的收益沒有顯示在損益表上。
此前消息,加CoinShares發布2021年年度報告。截至2021年年底,該公司凈資產超過2億英鎊,較2020年年底(5650萬英鎊)增加2.5倍。2021年收入達8075萬英鎊,較2020年(1838萬英鎊)增加近3.4倍。替代綜合收益表顯示,2021年營業利潤達1.0141億英鎊,較2020年(1711萬英鎊)增加近5倍。(CoinDesk)[2022/6/1 3:53:52]
攻擊者地址
PaintSwap社區成員鑄造1155枚NFT,幫助在Solidly上損失2.22萬美元的用戶籌款:3月10日消息,PaintSwap社區成員已鑄造1155枚NFT,以幫助補償在Solidly交易所損失22000美元的一名用戶。
兩周前,NiQlaus在Solidly上進行了一次失敗的兌換交易,損失價值22200美元的Fantom代幣。Solidly交易所于2月24日推出,該交易所拒絕賠償他。
PaintSwap社區成員已經開始籌款活動,希望籌集足夠的現金來補償NiQlaus。為此,他們已鑄造Nickels for NiQlaus NFT。然而,自推出一周以來,該NFT系列僅售出48枚,平均價格為16 FTM(約合20美元)。籌集的總金額不超過1000美元,對于NiQLaus來說遠遠低于其損失的金額。(Beincrypto)[2022/3/10 13:49:28]
0x702ef63881b5241ffb412199547bcd0c6910a970
Circle在6月因電子郵件欺詐損失200萬美元:金色財經報道,支付公司Circle在周四的監管文件中稱,Circle在上個月發生的一起“事件”中因電子郵件欺詐損失了 200 萬美元。Circle 表示,電子郵件欺詐事件并未影響客戶資金和賬戶,Circle的“信息系統”仍然安全。未具名的欺詐者在2021年6月竊取了200萬美元的“公司自有資金”。[2021/7/9 0:38:18]
攻擊合約
0x407feaec31c16b19f24a8a8846ab4939ed7d7d57
被攻擊合約
0x738fe8a918d5e43b705fc5127450e2300f7b08ab
攻擊流程
1.第一步,攻擊者通過閃電貸借出大量的資金,為后面的攻擊做準備。
2.第二步,攻擊者鑄造憑證幣,已允許借出其他資產。
3.第三步,攻擊者向vGHST地址轉入1656000枚GHSTToken。
4.后續清算黑客的借貸頭寸,清算借入的頭寸用于取回原始抵押品。
5.最后攻擊者償還閃電貸。
漏洞分析
本次攻擊黑客利用了VGHSTOracle預言機漏洞,因為VGHSTOracle預言機獲取的價格是通過vGHST合約的convertVGHST函數去獲取的,而convertVGHST函數中的計算依靠于合約中的GHSTToken數量。
在操控價格前ghst為1038332409246369136,如下圖:
攻擊者向vGHST地址轉入1656000枚GHSTToken后,ghst為1785061331510841538,如下圖:
由于抬高了價格,已至于黑客可以清算借入的頭寸用于取回原始抵押品。
資金追蹤
截止發文時,攻擊者通過跨鏈協議從matic轉移到以太坊上,目前被盜資金存放在:
https://etherscan.io/address/0x702Ef63881B5241ffB412199547bcd0c6910A970。BeosinKYT反洗錢分析平臺正在對被盜資金進行監控。
總結
針對本次事件,Beosin安全團隊建議:合約開發時,因避免預言機被操控,建議使用更加安全的預言機來預言價格。項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
文|張鵬 編輯|黎詩韻 原文標題丨對話金山辦公CEO章慶元:依托大模型,重寫WPS的使命 來源丨極客公園 圖片來源:由無界AI工具生成一家SaaS軟件公司,正處在大模型范式革命的前沿.
1900/1/1 0:00:00研究機構:MintVentures 原文作者:AlexXu 概述 本篇研報主要關注當下?ve(?3,?3)Dex?項目的發展現狀,以及該模式在商業上的優勢和挑戰.
1900/1/1 0:00:00喜馬拉雅山脈山腳下的不丹,曾被稱為“世界上最快樂的國度”,但不斷擴大的貿易赤字和不斷上升的進口成本之下,這個現實秘境的香巴拉正拉響經濟“警報”.
1900/1/1 0:00:00一.背景#ordinals#brc20這幾天meme幣風口,不僅僅是brc20,以太上的meme也有一定程度的拉盤.
1900/1/1 0:00:00他本是一位普普通通的高中教師,卻活生生養出一個估值40億美元獨角獸。而且方法也是非常的獨特——打造了世界最大的免費開源數據集,卻從未從中收取過一分錢,也婉拒了各類工作的邀請.
1900/1/1 0:00:00本文重點研究梳理了元宇宙在文旅行業的十大應用領域、案例以及技術實施企業,以期為地方政府制定相關規劃、招商以及文化企業拓展業務提供參考.
1900/1/1 0:00:00