BTC/HKD-0.44%
ETH/HKD-1.27%
LTC/HKD-0.4%
DOT/HKD+1.12%
ADA/HKD-0.12%
SOL/HKD-0.46%
XRP/HKD-0.69%
DOGE/US-0.49%據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。
2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。
3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB
4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。
5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。
6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。
7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。
此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。
慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]
慢霧:警惕Web3錢包WalletConnect釣魚風險:金色財經報道,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。
慢霧發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
6月3日消息,DeFi公共產品JPEG'd推出自動復利金庫“Citadel”,可以幫助用戶收獲CRV和CVX獎勵,用戶不需要執行任何操作,可以隨時提現.
Block Chain:2022/6/3 4:00:516月7日消息,Move to Earn 應用 STEPN 在官方社交媒體平臺發文表示,由于昨天發生了一次 DDOS 攻擊,影響了我們的大量用戶。團隊承諾會提供有關 DDOS 情況的更新,為確保服務器的安全與穩定恢復,...
Block Chain:2022/6/7 4:06:45金色財經報道,據最新數據顯示,元宇宙相關加密資產總市值為136.5億美元,24小時交易額14.4億美元,下降18.05%.
Block Chain:2022/6/6 4:04:02金色財經報道,Fuse Network宣布集成Web3存儲和隱私協議Arcana Network。通過這一集成,項目團隊可以在錢包中添加社交賬號登錄方式,還可以完全在鏈上存儲數據,允許用戶擁有自己的數據并對其擁有完全...
Block Chain:2022/6/5 4:02:41金色財經報道,1ML網站數據顯示,比特幣閃電網絡(LightningNetwork)的節點數量為17,650個,同比增長1.48%;通道數量為85,398個,同比增長1.7%;網絡容量為3,967.13BTC,同比增...
Block Chain:2022/6/7 4:06:456月4日消息,根據CoinShares的數字資產雙月基金經理調查結果,管理著大約2000億美元資產的大型投資者正在遠離ETH,轉而押注其他三種山寨幣:ADA、DOT和XRP.
Block Chain:2022/6/4 4:02:026月5日消息,加密分析師Plan C發推表示,根據數據證明顯示,比特幣現已出現底部,并且在3個指標中均顯示同樣的結果,在這之后,鏈上數據也顯示出了大規模的看漲趨勢.
Block Chain:2022/6/5 4:03:506月3日消息,加密交易所 Crypto.com 獲得由迪拜虛擬資產監管機構(VARA)對其虛擬資產運營執照的臨時批準,Crypto.com 的運營許可證是有條件的,直到它滿足某些強制性要求.
Block Chain:2022/6/3 4:00:376月5日消息,NFT 項目 Quirklings 24 小時交易額達 1,236,479.82 美元,增幅達 157.77%,當前地板價為 0.389 ETH,24 小時漲幅 17.17%.
Block Chain:2022/6/5 4:03:30金色財經報道,MicroStrategy 首席執行官Michael Saylor表示,一旦你了解了領先的加密貨幣的基本面以及創造更好的東西有多么困難,比特幣的近期波動在很大程度上就無關緊要了.
Block Chain:2022/6/5 4:03:536月5日消息,Terre和UST崩盤事件引發了人們關于其創造者Do Kwon是否可以被問責的疑問.
Block Chain:2022/6/5 4:02:57據官方消息,新加坡DeFi平臺Cake DeFi宣布,截至2022年第一季度末,其已向客戶支付超過3.17億美元的獎勵。自2019年成立以來,其業務繼續保持強勁增長,季度環比平均增長近90%.
Block Chain:2022/6/7 4:09:08
比特幣價格
