以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 瑞波幣 > Info

NDR:一文回顧YFI創始人Andre新項目遭黑客攻擊事件

Author:

Time:1900/1/1 0:00:00

文章來源:matataki

作者:小島美奈子

Mementotehominemesse:謹記你不過只是一個人。——《世界語言簡史》,常被引用的拉丁語名言

這已經不是Andre第一次翻車了,今年早些時候,Andre在剛開始構建yCrv的時候,就發生過一次事故,使得一個早期用戶損失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

這件事件之后,Andre的置頂推文就是那則著名的Disclaimer。

Paradigm推出公共加密數據產品:3月18日消息,加密風投機構Paradigm推出Paradigm數據門戶,為研究人員與工具構建者組裝一堆公共加密數據集。該數據集源自3個以太坊歷史的公共數據集:合約、ETH轉賬與插槽。這些數據集被設計為一種公共產品,開源免費使用。未來將增加更多類型的數據集與更多區塊鏈的數據集。[2023/3/18 13:12:22]

而就在本月中旬,YFI的社區項目SAFE也發生了內幕交易,提前買入了大額保單。雖然不是Andre的直接責任,但依然對YFI的社區造成了一定影響。

昨天發生的事故無論是損失金額,還是波及的人數,都比前幾次事故要遠遠嚴重。而且事故原理也更加簡單,簡直可以作為Flashloan的入門教程了。以至于Andre都寫不出像樣的Postmortem來進行說明。

幣安將于3月3日16時對TRON Network進行錢包維護:3月3日消息,幣安將于3月3日16時,對TRON Network(TRX)進行錢包維護,預計需要1小時。相關資產的交易、提現不受影響。[2023/3/3 12:40:18]

事故原理

Flashloan大家一定已經不陌生了,在今年EtherDenver期間,DeFi項目bZq就曾連續發生數次事故。其中第二次攻擊并不是合約代碼的漏洞,而是利用了合約設計的缺陷——所有合約都按照預定的設計在執行工作,但當這些合約組合時卻形成了無風險套利的可能。因為攻擊者需要在一筆tx內同時完成「借款」和「還款」的操作,因而這種攻擊方法被稱之為閃電貸??。DragonFly的研究員HaseebQureshi就曾撰文,稱這種類型的攻擊將會成為DeFi開發中的「新常態」。

比特幣全網未確認交易數量為9006筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為9006筆,全網算力為264.02 EH/s,24小時交易速率為3.02交易/s,目前全網難度為34.09 T,預測下次難度上調9.10%至37.20 T,距離調整還剩6天9小時。[2023/1/10 11:03:25]

事故合約

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

加密采礦數據中心開發商Soluna計劃通過股票發行籌集200萬美元:10月25日消息,據外媒報道,加密采礦數據中心開發商Soluna Holdings宣布計劃通過股票發行籌集200萬美元,新資金將用于數據中心的收購、開發和增長,包括加密挖礦處理器,以及其在德克薩斯州的站點。

該公司網站顯示,其正在開發一個連接到德州風電場的50兆瓦數據中心,預計將于2022年最后一個季度上線。除此之外,Soluna還向Spring Lane發行了593,065股股票,以至少額外籌集85萬美元。(TheBlock)[2022/10/25 16:37:52]

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

安全團隊:“胖企鵝”出現冒名推特賬戶和釣魚欺詐網站,已有22枚NFT被盜:8月25日消息,據派盾(PeckShield)監測,“胖企鵝”Pudgy Penguins 出現冒名推特賬戶 @pudgypinguins 和釣魚欺詐網站 pudgypengun-lcb[.]com,目前已有 22 枚 NFT 被盜,包括 VeeFriends 和 Pudgy Penguins 系列 NFT。[2022/8/25 12:47:01]

我們可以看到黑客一共發起了三次CreateContract操作,并且再得手之后,還還回去一半。

再看一些具體的受害者Case,比如這位老哥花了390個ETH去買EMN,一個小時之后只賣回了1個。

再比如這位推上的老哥@spzcrypto。。。前幾個小時還在轉推@eminencefi的狀態。。下一則推就gotrekt了==。。。。

看上去也根本不像是演的。類似的受害者想必不在少數。

雖然攻擊合約沒有開源。。但是死觀察這些tx的內聯轉賬可知。。。這是一個標準的閃電貸??過程。。。。很容易把攻擊原理還原出來,下面這則thread詳細的描述了攻擊經過:

如果你困惑于黑客是如何成功榨干$EMN合約的,這里是具體的機制。EMN合約允許你用DAI作為儲備金,鑄造EMN。它使用標準的類似Bancor的曲線——DAI被用作EMN的儲備貨幣,EMN代幣的價格由EMN的數量與儲備貨幣中的數量決定。

第二種代幣,eAAVE也類似,但有一個小而重要的不同——它是用EMN作為儲備貨幣,但卻是「虛擬的」——如果你通過向它發送EMN代幣來鑄造eAAVE,而不是將你的EMN存儲在儲備中,eAAVE合約實際上會銷毀EMN。這種相互作用使得攻擊者可以進行以下交易。下面是完整的攻擊過程:

從Uniswap中閃電貸??出15m的DAI。

用你的DAI鑄造盡可能多的EMN。

用一半的EMN鑄造eAAVE。這將消耗EMN,減少總供應量,從而抬高EMN的價格。

以10m的價格賣出你的后一半EMN。

現在賣出你的eAAVE,取回你的前一半EMN,降低EMN的價格。

以6.649m的價格賣回你的前一半EMN。

向Uniswap歸還15m的閃電貸??,享受1.67m的利潤。

重復以上策略三次。

黑客能在如此短的時間里發現合約的漏洞,因而社區猜測也是一次內線作案。雖然說TestinProd是Andre的標準做法。但是今天的Andre頭頂YFI之父的光環,其對社區的影響以不可同日而語。正所謂力量越大責任也越大,發生這樣的事故,Andre本人其實難辭其咎。

后續

YFI的幣價受此事故牽連,昨日大跌16%。

Andre本人也表示收到了許多受害者的私信人身威脅。隨后Andre表示將會永久封存自己使用已久傳奇賬號Yearn.Deployer。并不再使用TwitterShill自己的新項目。

同時Andre也失去了他的左膀右臂。。。YFI社區KOL,第一時間shill并目睹了被駭全過程的@Bluekirby。。。。藍色星之卡比表示自己將從YFI社區中辭職。

截止目前,該事件的影響依然在發酵中。

Tags:DREANDNDRTHEdrep幣突然漲HANDYrndr幣未來價值男生ethereal代表什么意義

瑞波幣
UNI:Uniswap發起第一個社區提案,旨在降低協議治理門檻

Uniswap社區當前正在舉行有史以來的第一次投票,投票將于10月19日完成。這次投票旨在降低提交治理提案和通過投票所需的門檻.

1900/1/1 0:00:00
EST:價格預言機:一種不可或缺的基礎設施

撰文:HuobiDeFiLabs 概述 伴隨著去中心化金融生態環境在過去一年中的發展和近期積極的市場動向,我們觀察到,最近三個月以來,市場正由中心化金融體系向去中心化金融轉變.

1900/1/1 0:00:00
TER:周子衡:DC/EP的需求與發展動力

轉自:中鈔區塊鏈技術研究院與全球其他經濟體系相比較而言,中外數字貨幣策略選擇的路向存在差異。簡言之,中國所謀求的數字貨幣首在實現法定數字支付,亦即中國貨幣數字化的現實目標不是基于資產數字化,而是.

1900/1/1 0:00:00
PEN:OpenBazaar因資金不足面臨停業,正呼吁社區捐款“續命”

轉自:星球日報 去中心化商品交易平臺OpenBazaar周五宣布,由于資金不足,該平臺已無力繼續運營.

1900/1/1 0:00:00
REX:數字支付平臺Wirex籌集150萬美元,近2000名投資者參與眾籌

根據Ambcrypto9月29日報道,基于Ripple的數字支付平臺Wirex通過發行證券籌集了120萬英鎊.

1900/1/1 0:00:00
比特幣:亞馬遜可以隨時關閉DeFi?以太坊網絡節點中心化問題再受爭議

要點: 安東尼·龐普里亞諾認為,亞馬遜網絡服務可能會關閉流行的DeFi應用程序。他辯論了以太坊網絡的去中心化程度和對中心化Web托管服務的依賴性.

1900/1/1 0:00:00
ads