8月5日凌晨四點,有用戶在opyn論壇反饋自己的賬戶余額無故消失,并有用戶發現可疑的交易信息,如下圖所示:
Opyn項目方再對情況初步分析后做出回應表示:已經轉移了資金,并正在尋找問題原因
截至發稿前,官方發文回應此次事件:遭到黑客攻擊,并已對可能遭受攻擊的資產進行轉移,但此次漏洞只涉及ETH合約,并不影響其他合約。如下圖所示:
首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。
據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]
成都鏈安-安全實驗室第一時間對本次事件進行跟蹤分析,以下是態勢感知系統檢測盜的攻擊者合約地址:
0xe7870231992ab4b1a01814fa0a599115fe94203f
首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]
0xb837531bf4eb8ebfa3e20948bd14be067c18cbd3
0xb72e60ea1d0c04605f406c158dce9ac6ae6d224c
攻擊者攻擊方式還原:
1、 攻擊者調用合約向合約發送n個USDC增加抵押,并得到合約幣oETH
2、 攻擊者調用合約發送ETH進行抵押,并銷毀oETH以贖回自己的USDC
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
3、 攻擊者贖回自己抵押的ETH。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
在步驟二中,攻擊者調用exercise函數,并向其傳遞了兩個地址A(攻擊者自己地址)、B(他人未贖回USDC的地址)和兩倍自己應得的USDC,程序正常執行,這導致地址B的資金受損。
以交易
0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a
為例,攻擊者通過合約
0xe7870231992ab4b1a01814fa0a599115fe94203f對合約0x951D51bAeFb72319d9FBE941E1615938d89ABfe2
發動攻擊,此筆交易中共獲利$9907。如下圖所示:
攻擊者首先調用了addERC20CollateralOption函數,向合約中發送了9900個USDC,如下圖所示:
此函數中的addERC20Collateral(msg.sender, amtCollateral);負責代理轉賬USDC;函數中的issueOTokens(amtToCreate, receiver);負責鑄幣oETH,此筆交易鑄幣30個oETH并發送給了攻擊者,如下圖所示:
在此完成后,攻擊者的vault參數進行了變化。vault.oTokensIssued和vault.collateral分別更新300000000和9900000000為如下圖所示:
然后攻擊者開始將oETH兌換出來。
調用exercise,構造參數oTokensToExercise為60,vaultsToExerciseFrom為兩個地址,其中一個是也滿足條件的他人地址。如下圖所示:
Exercise函數運行_exercise(vault.oTokensIssued, vaultOwner);分支,將30oETH相應比例的USDC發送給調用者,如下圖所示:
我們可以注意到,在最終轉賬時,_exercise是將USDC轉給了msg.sender,也就是攻擊者。
我們回頭看exercise中存在者for循環,攻擊者輸入的oTokensToExercise為60,所以合約再驗證了第二個地址符合條件的情況下,依舊會將余額轉給msg.sender,也就是攻擊者。這就使得攻擊者可以獲得兩次USDC,從而獲得利潤。
此次事件攻擊者利用了exercise函數的邏輯缺陷。此函數在進行最后轉賬前并未驗證調用者是否有權限贖回此地址的USDC,只是簡單的驗證了地址是否可以贖回。屬于代碼層的邏輯漏洞,并且根據官方回復,此合約是經過安全審計的。成都鏈安在此提醒各項目方:
1、 項目上線前應當進行足夠有效的安全審計,最好是多方審計
2、 對于合約的應當設置暫停合約交易等功能,在發生安全事件時,可以以保證資金安全
3、 安全是一個持續的過程,絕非一次審計就能保平安,與第三方安全公司建立長期的合作至關重要
隨著繼續飆升,并達到13.8799美元,Chainlink(LINK)價格繼續創下新紀錄。截止發稿時,根據QKL123數據顯示,Link目前已經位居加密貨幣市值排名第6位,超過了BSV,僅次于B.
1900/1/1 0:00:00在DeFi風聲水起和ETH價格創出年度新高的關鍵時刻,以太坊網絡交易費用也在持續上行半年之際迎來暴漲.
1900/1/1 0:00:00記者昨日從業內獲悉,央行近日下發了《關于發布金融行業標準推動區塊鏈技術規范應用的通知》。該通知顯示,《區塊鏈技術金融應用評估規則》(下稱《評估規則》)已經全國金融標準化技術委員會審查通過,并開始.
1900/1/1 0:00:00ETH終于借到東風了,幣價突破300美元大關,領漲現貨行情。在“DeFi牛市里”,很多朋友都問阿空,怎么以太坊利用率那么高,ETH還老在“陣痛”呢?阿空覺得關鍵問題就是在兩者的關聯性.
1900/1/1 0:00:008月10日消息,今日,備受市場關注的DeFi項目方Curve宣布其治理代幣的初始預挖礦(pre-launch)活動已經結束,據悉,此次活動共吸引超過9000個地址參與.
1900/1/1 0:00:00中國傳統信息技術已被扼住喉嚨,新興的數據科技或可彎道超車。“如果說在傳統的信息技術領域,我們(中國)一直被‘卡脖子’,在以區塊鏈技術為代表的新興數字技術賽道上,我們完全有機會實現彎道超車.
1900/1/1 0:00:00