BTC/HKD-0.93%
ETH/HKD-0.88%
LTC/HKD-0.31%
DOT/HKD-1.76%
ADA/HKD-1.94%
SOL/HKD-1.65%
XRP/HKD-1.24%
DOGE/US-2.25%安全實驗室監測到以太坊上的DeFi協議IndexedFinance遭遇閃電貸襲擊,損失超1600萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。攻擊過程簡述
分析攻擊交易:
0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa
首先使用閃電貸通過Uniswap和ShushiSwap獲取啟動資金
2.通過借貸的AAVE/COMP/CRV/MKR/SNX代幣兌換礦池DEFI5中的UNI代幣(合約規定不允許轉賬超過礦池一半的代幣存量以及兌換超過三分之一的代幣存量,所以黑客進行了多次兌換)
HashKey Capital投資經理:小市值山寨幣或將有望迎來新的輪動機會:金色財經報道,HashKey Capital投資經理Rui發布推特稱,隨著比特幣從29000美元跌至25000美元,市場終于走出了震蕩區間。假設25000美元是這輪行情(2萬-3萬美元)的中位數,可能影響市場的關鍵點如下:
ETF批準仍是短期內最大變數,結果可能在9-10月出爐。ETF如果不通過將進一步打擊市場情緒,如果ETF通過,漲回30K也會引發Fomo效應。短期內會繼續震蕩,等待走勢對消息提前做出反應。
監管方面,6月的聲明暗示幣安與SEC初步達成和解,短期不太可能有突發處罰。
ETH層面,下半年有大量Layer2項目上線,抽象賬戶等加入,生態層面上如果再不出現新的發展則很多敘事都會證偽,所以鏈上的活躍度理應會有所提升。
BTC下跌后只要BTC不繼續跌則BTCD理論上應該會提升,部分山寨幣會出現價格修復行情(持續陰跌+流動性不錯)。現階段交易所山寨幣通過暴漲暴跌收割合約的玩法已經比較清晰,可能繼續快速輪動的合約小Alts行情。而之前大熱的鏈上山寨幣市值已經相對較高,隨著大莊的撤出持續暴漲的概率存疑。[2023/8/21 18:12:46]
3.通過將UNI代幣用于添加流動性鑄造DEFI5LP代幣
律師事務所Paul Weiss:不再擔任SBF代理人:金色財經報道,律師事務所Paul Weiss已表示不再擔任FTX創始人SBF的代理人,理由是存在利益沖突。此前有消息披露,SBF 的法律顧問已更換為斯坦福大學法學院的刑法和白領犯罪教授 David Mills,而SBF父親Joseph Bankman 恰好在斯坦福法學院任教。[2022/11/19 13:23:29]
4.向DEFI5礦池添加SUSHI代幣
5.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
音樂NFT平臺Sound.xyz推出Sound Protocol:9月26日消息,音樂NFT平臺Sound.xyz推出Sound Protocol。Sound Protocol提供一個無需許可的底層,藝術家可以自由部署自己的智能合約,對應智能合約由藝術家所有且不可升級,Sound.xyz收取5%的主要銷售費用。數據將以去中心化的形式上傳到Arweave永久保存,Mint格式可以根據每首歌曲進行自定義,并支持一級和二級銷售的端到端版稅。[2022/9/26 7:21:01]
6.通過將SUSHI代幣用于添加流動性鑄造DEFI5LP代幣
7.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
8.歸還閃電貸并將獲利轉移
漏洞成因分析
通過攻擊簡述獲取有效信息
1.黑客有意控制礦池中UNI代幣總量
2.黑客向礦池中添加了新代幣SHSHI
3.黑客通過鑄造、燃燒LP代幣獲利
通過源碼分析漏洞成因
1.檢查源碼發現函數extrapolatePoolValueFromToken被用于尋找礦池中第一個初始化且具有權重的代幣,據官方解釋該函數作用于以該代幣描述整個礦池的價值——即如果礦池中有10個UNI,權重為10%,那么該礦池總價值為100UNI。
由此黑客控制礦池中UNI代幣總量得到解釋,該行為是為了控制礦池總價值。
2.檢查源碼發現函數setMinimumBalance和函數gulp可以添加新代幣并獲得極大的權重。?由此黑客向礦池添加新代幣SUSHI得到解釋,該行為是為了獲得可控且具有極大權重的代幣。
綜合分析
合約設計中礦池的總價值被礦池中第一個初始化且具有權重的代幣用來描述,該代幣總量可被攻擊者控制
合約中可添加新代幣,新代幣可占據極大權重,添加新代幣方式可被攻擊者控制
合約中的資產可通過鑄造、燃燒LP代幣控制,鑄造LP代幣方式可被攻擊者控制
綜述該漏洞成因就是用一種代幣來描述整個礦池的價值,官方也給出了修改方案:取消該模式替換為用礦池中所有代幣余額的組合值來描述。
總結
此次攻擊屬于對礦池價值的單一描述,很容易被他人操控,開發人員應避免此類事件。
知道創宇區塊鏈安全實驗室?提醒各項目方,合約安全作為直接保障資金的防線需要得到最高的重視,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:UNIEFISHIDEFUniArtsDragonsGameFiShilling TokenNRGY Defi
尊敬的中幣用戶: ????由于TRON主網升級,中幣將于香港時間2021年10月25日23:30暫停TRX以及TRC-20代幣的充幣和提幣業務.
1900/1/1 0:00:00尊敬的用戶:?????????????BKEXGlobal即將上線GOLD,詳情如下:上線交易對:GOLD/USDT幣種類型:BEP20?充值功能開放時間:已開放交易功能開放時間:2021年10.
1900/1/1 0:00:00親愛的BitMart用戶:BitMart將于2021年11月4日首發上線代幣StrikeX(STRX)。屆時將開通STRX/USDT交易對.
1900/1/1 0:00:00人類用知識的活動去了解事物,用實踐的活動去改變事物;用前者去掌握宇宙,用后者去創造宇宙。Torah是一個賦能分布式能源管理的去中心化存儲生態應用公鏈,Torah賦能分布式能源共享,結合分布式和智.
1900/1/1 0:00:00一、項目介紹 這是ETH區塊鏈上第一只口袋妖怪狗。這只口袋妖怪狗其實是一只穿著皮卡丘服裝的薩摩耶犬.
1900/1/1 0:00:00尊敬的用戶: 為更好地保障用戶利益,AOFEX不斷升級專案審查標準,全面優化專案風險控制規則,AOFEX將定期審核上線數字資產.
1900/1/1 0:00:00
比特幣價格
