以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 瑞波幣 > Info

SUSD:簡析 Alpha Finance & Cream 被攻擊事件

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2021年2月13日,以太坊DeFiAlphaFinance遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式分享給大家,供大家研究。

1.攻擊者用一部分的WETH在UniswapWETH-UNI池子上添加流動性,再把一部分的WETH兌換成sUSD并在Cream中添加流動性獲得cySUSD憑證。

2.攻擊者通過AlphaHomoraV2從IronBank借出sUSD,并將LP抵押到WERC20中為后面開杠桿做準備。

LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

3.攻擊者再通過AlphaHomoraV2將上一步借出的sUSD歸還給IronBank。

Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]

4.上面幾步似乎只是試探。

安全公司:Starstream Finance被黑簡析:4月8日消息,據Agora DeFi消息,受 Starstream 的 distributor treasury 合約漏洞影響,Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數,此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時,StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中,并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

5.隨后攻擊者開始利用AlphaHomoraV2的杠桿借貸從IronBank中循環借出sUSD,每次借出數量都是上一次的一倍,最后將借出的sUSD再轉到Cream中添加流動性獲得cySUSD憑證。

6.之后攻擊者不滿足于這種低效的杠桿循環借貸疊cySUSD的方式,開始使用閃電貸加快速度。

7.攻擊者開始從AAVE中閃電貸借出180萬USDC,并通過Curve將USDC兌換成sUSD,這時候攻擊者就拿到了大量的sUSD了。

8.隨后攻擊者先用sUSD到Cream中添加流動性,并獲得cySUSD憑證,再開始繼續使用AlphaHomoraV2的杠桿借貸從IronBank中循環翻倍的借出sUSD,最后利用借出的sUSD去歸還閃電貸。(償還的閃電貸中有包含先前幾步的一部分sUSD作為利息,因為最后一步借出的不足以還貸,但都是拿從Alpha借的去還的)?

9.重復上一步,閃電貸借出1000萬USDC,換成sUSD,先添加在Cream中,添加9,668,335的流動性拿到cySUSD,再繼續杠桿借貸,最后翻倍到10,088,930應該基本把池子借空了。然后開始重復添加流動性,獲取cySUSD。最后再去歸還閃電貸。

10.再閃電貸借出1000萬,再重復添加流動性與借貸,獲取cySUSD并歸還閃電貸。

11.由于經過以上步驟攻擊者已獲得大量cySUSD,因此攻擊者開始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。

總結:攻擊者使用閃電貸到AlphaFinance中進行杠桿借貸,并使用AlphaFinance本身的CreamIronBank額度來歸還閃電貸,在這個過程中攻擊者通過在Cream添加流動性獲得了大量的cySUSD,使攻擊者得以用這些cySUSD在CreamFinance中進行進一步的借貸。由于AlphaFinance的問題,導致了兩個協議同時遭受了損失。

Tags:USDSUSDREAGVCusdc幣市值減少ASUSD幣男生用ethereal代表什么意義AGVC

瑞波幣
ETF:北美首只比特幣EFT能量驚人,將為加密市場打開新天地

美國很早即批準了以灰度信托為代表的比特幣ETP類產品,這也成為2020年比特幣大幅上漲的主要推手。而近期,加拿大首只比特幣ETF的推出更將成為推動2021年比特幣繼續猛漲的重要因素.

1900/1/1 0:00:00
區塊鏈:金色晚報 | 2月17日晚間重要動態一覽

12:00-21:00關鍵詞:BTC市值超騰訊、MicroStrategy、IBC集團1.韓國金融委員會:將允許虛擬資產交易訂單在一定條件下共享.

1900/1/1 0:00:00
INS:紐約總檢察長辦公室起訴加密公司Coinseed 指控其詐騙100多萬美元

摘要: 美國紐約州總檢察長LetitiaJames宣布對加密初創公司Coinseed提出指控。James宣稱,該公司“詐騙全國數千名投資者100多萬美元”。她正在起訴該公司及其兩名高管.

1900/1/1 0:00:00
以太坊:金色早報 | V神提出以太坊信標鏈第一個硬分叉提案“HF1”

金色早報|V神提出以太坊信標鏈第一個硬分叉提案“HF1” 金色早8點 剛剛 21 頭條 ▌V神提出以太坊信標鏈第一個硬分叉提案“HF1”以太坊創始人V神剛剛在推特上提出了以太坊信標鏈第一個硬分叉.

1900/1/1 0:00:00
USDT:金色趨勢丨礦工收益創歷史新高 BTC醞釀新一輪暴漲

我們看下比特幣礦工收益長期走勢與比特幣現貨價格走勢之間的關系,研究可以發現,目前雖然價格已經遠遠超過2017年的牛市頂點2萬美金,不過礦工收益目前還只是剛剛超過17年比特幣2萬美金的水平.

1900/1/1 0:00:00
DOT:高盛、摩根大通和瑞銀正在交易與Polkadot加密貨幣相關的ETP

這些購買行為表明,機構投資者在牛市中對加密業務的興趣遠不止比特幣,甚至不止是以太幣。傳統金融正在深入加密貨幣業務,并且比你想象的還要深.

1900/1/1 0:00:00
ads