比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 區塊鏈 > Info

安全團隊:Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制

Author:

Block

Time:2022/4/25 14:46:47

4月25日消息,Cobo區塊鏈安全團隊就Flurry Finance攻擊事件進行了分析,發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同,而是利用了Flurry Finance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據(Bank中的token數量)。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱,進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用Rabbit Finance的StrategyLiquidate合約來執行任意代碼的技巧,但這個技巧涉及到的合約代碼本身其實并不存在安全問題。Cobo區塊鏈安全團隊提醒,開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。

此前消息,2月22日,BSC鏈上的Flurry Finance遭到閃電貸攻擊,導致協議中Vault合約中價值數十萬美元的資產被盜。

CZ:Binance不支持Poly Network黑客的存款,其安全團隊正協助調查:7月2日消息,針對Poly Network黑客出售SHIB、COOK、RFuel等代幣,并轉移資產到多個新錢包,Binance創始人CZ發推表示,Poly Network黑客不會影響Binance用戶,Binance不支持來自該網絡的存款。不過,Binance的安全團隊正在協助進行調查。

此前據Lookonchain監測,Poly Network黑客已經出售940億枚SHIB換取360枚ETH,出售4.95億枚COOK換取16枚ETH,出售1500萬枚RFuel換取27枚ETH。黑客正在將資產和1枚ETH轉移到多個新錢包中,很可能用于出售。[2023/7/2 22:13:31]

安全團隊:DFX Finance攻擊者獲利逾23萬美元:11月11日消息,據慢霧安全團隊情報,ETH鏈上的DFX Finance項目遭到攻擊,攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下:

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況,之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸,因為該函數未做重入鎖保護,導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數,在該函數中會將第二步中借來的資金轉移回Curve合約里,并且為攻擊合約進行存款的記賬,并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中,使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款,取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證,并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護,導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷,由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

安全團隊:UglyPeopleNFT的Discord被黑客入侵:4月17日消息,BlockSec告警系統于4月17日下午5點50分發現UglyPeopleNFT項目的discord被黑客入侵,攻擊者正在擴散虛假mint鏈接,請不要點擊公告中的虛假mint鏈接。[2022/4/17 14:29:43]

Animoca Brands旗下手游Benji Bananas發布Litepaper,將正式推出P2E模式

4月27日消息,Animoca Brands旗下手游Benji Bananas在其社交網站發布Litepaper,并將正式推出P2E模式.

Block Chain:2022/4/27 5:14:50
Terra創始人:P2E游戲魔龍之魂現已上線Com2uS旗下鏈游平臺CTX

4月27日消息,Terra創始人Do Kwon在推特上表示,P2E游戲魔龍之魂(Chromatic Soul)已上線韓國游戲開發商Com2uS旗下區塊鏈游戲平臺CTX.

Block Chain:2022/4/27 2:34:04
河南省工信廳征集區塊鏈應用場景需求及應用案例

4月25日消息,記者從河南省工業和信息化廳獲悉,河南省工業和信息化廳面向全省征集區塊鏈應用場景需求、區塊鏈典型應用案例。申報截至日期為2022年5月5日.

Block Chain:2022/4/25 14:46:45
區塊鏈解決方案提供商TRST01推出碳抵消NFT Bhu

4月25日消息,區塊鏈解決方案提供商TrayamBhu Tech Solutions Pvt. Limited(TRST01)推出碳抵消NFT代幣Bhu,以紀念地球日.

Block Chain:2022/4/25 14:47:02
三星資產管理公司將于今年上半年在中國香港上市“亞洲首個”區塊鏈ETF

4月28日消息,三星資產管理公司將于今年上半年在中國香港上市一只區塊鏈交易所交易基金(ETF)。這是亞洲首次上市包含實際加密貨幣的ETF.

Block Chain:2022/4/28 2:36:49
美股收盤,三大股指全面微漲

道瓊斯指數4月27日(周三)收盤上漲62.08點,漲幅0.19%,報33302.26點; 標普500指數4月27日(周三)收盤上漲7.60點,漲幅0.18%,報4182.80點; 納斯達克綜合指數4月27日(周三)收...

Block Chain:2022/4/28 2:35:31
DeFi交易加速工具bloXroute獲IOBC Capital戰略投資

4月28日消息,加密風投機構IOBC Capital宣布成為DeFi交易加速工具bloXroute生態系統的合作伙伴和戰略投資者.

Block Chain:2022/4/28 2:36:08
報告:機構和零售投資者認為加密貨幣將在十年內超過許多傳統投資工具

金色財經報道,加密貨幣交易所Bitstamp周二發布了 Crypto Pulse 調查報告,得出結論認為,機構和零售投資者認為加密貨幣將在十年內超過許多傳統投資工具.

Block Chain:2022/4/27 5:14:20
Deafbeef Series 2: Transmission-Token 139以225 ETH成交,創歷史最高交易記錄

金色財經報道,據 NFTGo.io 數據顯示,Deafbeef Series 2: Transmission-Token 139 以 225 ETH(約合 642.

Block Chain:2022/4/28 2:35:35
加密托管機構Fireblocks增加對Terra的支持,集成后客戶已部署近5億美元資金

4月26日消息,加密貨幣托管機構Fireblocks新增對Terra的支持。Fireblocks表示,其客戶現在可以訪問基于Terra的DeFi應用,例如借貸協議Anchor和流動性質押協議Lido.

Block Chain:2022/4/26 5:13:19
中原銀行推出紀念版數字藏品“中原銀行原小虎”

4月28日消息,中原銀行推出紀念版數字藏品“中原銀行原小虎”,在虎年生肖形象的基礎上,融入中原地區傳統文化和旅游元素,總發行量為2022個,其中含有186個隱藏款。該數字藏品不具備支付功能等貨幣屬性,不可轉讓、買賣.

Block Chain:2022/4/28 2:37:11
ads