以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Gateio > Info

USD:簡析 Solana 算法穩定幣 Nirvana 被攻擊事件

Author:

Time:1900/1/1 0:00:00

Nirvana目前資產缺口超過1200萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。

原文標題:《暴跌90%!Solana算法穩定幣新秀Nirvana被攻擊事件分析》

撰文:成都鏈安

當你第一次聽到Nirvana這個項目時,你的反應是不是也是這樣。

Nirvana,不就是那支享譽全球的涅槃樂隊嗎?

安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

Nirvana,對于一個喜歡搖滾樂的樂迷來說肯定很熟悉,當然,Web3的項目方取名字也會各種蹭,當時這個算法穩定幣協議Nirvana出來時,很多人也在疑惑這個項目是否和這支傳奇樂隊有關聯。

Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]

后來事實證明他們毫無關系。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

據悉,這個有著Solana算法穩定幣新秀的項目,采取雙代幣系統:ANA,一種算法亞穩態代幣,用作財富存儲;由ANA作為抵押生成的NIRV代幣,是一種去中心化的超級穩定幣,用作價值存儲。

為何這個項目在今日遭受攻擊,請聽我們細細分解。

北京時間7月28日中午,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于Solana的去中心化算法穩定幣協議Nirvana遭遇攻擊,其穩定幣NIRV價格從1美元一度跌至0.09美元,目前反彈至0.11美元,最大跌幅超過90%;ANA代幣價格從8.9美元一度跌至1.5美元,跌幅高達85%。

我們統計資金損失時,發現項目方損失約357萬美元。

攻擊發生時海外正值深夜,大概項目方工作人員還在睡夢中。成都鏈安安全團隊的小伙伴,立刻跟進此事件,現將本次事件簡單分析如下。

第一步,攻擊者通過調用solend協議的flashloan指令,借來了1025WUSD,隨后調用了Nirvana程序中的Buy3指令,此時根據兌換比例可以算出此時USD/ANA為8.72,兌換后價格為24.27,此時兌換前價格/兌換后價格約為1/3。

第二步,攻擊者開始進入「黑化狀態」,兩次調用swap指令將獲得的ANA兌換為USD,價格隨后分別跌至22.73,16.47。

第三步,成都鏈安安全團隊通過Github搜索關鍵字相關項目,但未發現存在buy3指令。

第四步,被盜資金目前以通過跨鏈橋轉移到以太坊上。成都鏈安鏈必追將持續對資金地址進行分析和追蹤。

根據Odaily星球日報的報道,「Nirvana」目前資產缺口超過1200萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。「Nirvana」要想繼續存活,也許可以效仿競品BeanstalkFarms進行眾籌。

好了,今天的分享就結束了,后續有動向我們將持續跟進此事件。

Tags:USDGVCSEAAMAAave BUSDgvc幣值錢嗎SEAL價格MetaMars

Gateio
NFT:「數字安全」警惕 NFT的七大騙局

新興的NFT市場,為藝術家和創作者們提供了作品貨幣化的新機會,但也為詐騙者竊取NFT和加密貨幣創造了機會。本文揭露NFT市場出現以來常見的NFT詐騙行為,提醒讀者們注意識別,冷靜地避免遭受損失.

1900/1/1 0:00:00
NFT:GUCCI、LV等奢侈品巨頭如何布局元宇宙的 其他品牌應該跟上嗎?

自元宇宙一詞在2021年被Facebook更名事件推上高潮以來,不少品牌都紛紛宣布進軍元宇宙。盡管這個品牌眼中的”香饃饃“仍是一個尚未完全落地的概念,但從科技巨頭到時尚品牌,甚至餐飲界,似乎都看.

1900/1/1 0:00:00
ENG:靈魂綁定代幣的現況:當前的參與者和亟待解決的問題

作者:Joseph 在今年早些時候,Vitalik通過他的一篇《靈魂綁定代幣?》的文章開創了NFT的新時代。這促進了許多項目在其靈魂綁定代幣的“新”NFT用例中進行了許多實驗.

1900/1/1 0:00:00
ETH:金色觀察|誰會用“以太坊合并”來引導投資“敘事”?

合并是以太坊2022年最大的事,以以太坊的地位,必然會有以“以太坊合并”作為投資敘事的人或項目.

1900/1/1 0:00:00
META:這是Facebook母公司 關于元宇宙的80萬億美元豪賭

作者:李大大餅 前幾天,受世界科技互聯網巨頭平臺Facebook母公司Meta的委托,著名國際咨詢公司AnalysisGroup發布一份關于元宇宙行業的白皮書.

1900/1/1 0:00:00
區塊鏈:Web3.0:一場概念的游戲

專欄介紹 PingWeb3是品玩出品的關注Web3.0世界的專欄。在互聯網行業趨于平寂,人們似乎只想關心那些裁員和衰退的故事的當下,Web3.0還提醒著人們,互聯網帶來的熱鬧爭論是什么樣子.

1900/1/1 0:00:00
ads