据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。
其它快讯:
慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
慢雾:美国演员SethGreen的NFT遭钓鱼攻击,资金已跨链到 BTC 并混币:5月18日消息,美国演员SethGreen遭遇钓鱼攻击致4个NFT(包括1个BAYC、2个MAYC和1个Doodle)被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH(约33万美元)。
慢雾MistTrack对0xC8a0907开头的钓鱼地址分析后,发现总共有8个用户的NFT被盗,包含MAYC、Doodle、BAYC、VOX等12类NFT,全部售出后总获利194ETH。同时,该钓鱼地址初始资金0.188ETH来自Change NOW。钓鱼者地址将大部分ETH转换为renBTC后跨链到6个BTC地址,约14BTC均通过混币转移以躲避追踪。NFT钓鱼无处不在,请大家保持怀疑,提高警惕。[2022/5/18 3:24:23]
金色财经报道,韩国国高端时尚零售巨头LF Mall为客户推出奢侈品NFT认证服务,所有通过线上商店销售的奢侈品将会颁发“LFmall Guarantee”,这是一种基于 NFT 的数字证书,每个证书都有一个唯一的序列...
区块链:2022/5/2 2:45:285月2日消息,LinkVC 创始人林嘉鹏和同舟资本创始合伙人张了了相继以 130 ETH 和 133 ETH 分别购入 BAYC #4051 和 BAYC #1581。 其它快讯: NFT藏家ding...
区块链:2022/5/2 2:44:395月3日消息,WhaleStats数据显示,SHIB仍然是以太坊链上巨鲸钱包持有的头号加密资产。然而,与5月2日相比,这些巨鲸钱包的SHIB余额大幅下降,从略高于10亿美元下降到983,338,440美元。 ...
区块链:2022/5/3 2:47:30金色财经报道,绿地集团开设推特账号greenlandjc,并将BAYC#8302号认证为推特NFT头像。截止目前,该账号共发布4条推文,并以NFT数字身份的形式开始参与web3与NFT的讨论。 此前金色财经...
区块链:2022/5/1 2:44:105月2日消息,去中心化计算网络 Flux 和 Terra 正在合作整合生态系统,合作内容包括在 Flux 生态系统上开发 Terra;Flux 将在 Flux 基础设施上部署来自 Terra 生态系统的去中心化应用;...
区块链:2022/5/2 2:45:09金色财经报道,中国领先的数字藏品电商平台数藏中国发布海信Vidda与国星宇航联名款激光卫星数字藏品。本次数字藏品,以视频方式呈现。激光卫星围绕足球行星转动,卫星原型就来自国星宇航发射升空的AI卫星。2022年也是“世...
区块链:2022/5/2 2:44:164月29日消息,据CertiK安全团队监测,Ronin Network攻击者于近24小时内已将另外4100枚ETH(价值约1190万美元)转移至Tornado Cash中。 攻击者钱包地址:0xDD6458...
区块链:2022/4/29 2:39:295月3日消息,数字国家项目Nation3 DAO已于北京时间5月2日22:00开启流动性激励活动,旨在提升项目早期Balancer池的流动性。500枚Nation代币将在6个月内作为激励分发给流动性提供者,质押Nat...
区块链:2022/5/3 2:47:184月29日消息,FTX 首席执行官 SBF 在 FTX 巴哈马大会上表示,对马斯克收购后的推特很期待。特别是马斯克或许会决定是否为推特引入 Web3 组件,这将在不同的社交网络间创造互操作性,不同社交平台的用户数据如...
区块链:2022/4/29 2:39:35金色财经报道,中国青年报社与上海树图(Conflux)区块链研究院在中国青年报社总部签署战略合作协议,双方将共同成立区块链应用场景协同创新实验室,逐步开启在数字藏品发行、青年数字文创产品推广、数字版权保护、青年诚信体...
区块链:2022/4/29 2:38:07金色财经消息,据Ethereum官方网站最新数据显示,以太坊信标链(The Beacon Chain)网络验证者数量已突破36万,截止目前为360,048个。此外,当前以太坊信标链总质押量为12,077,516ETH...
区块链:2022/4/29 2:38:554月30日消息,Saddle Finance今日下午遭受攻击,损失4900 ETH。BlockSec攻击阻断系统成功阻断其中一笔攻击(1360 ETH,价值380万美金)。现团队正在和项目方商讨资金归还事宜。 ...
区块链:2022/4/30 2:42:25
链资讯