據慢霧安全團隊情報,2022年7月10號OMNIProtocol遭受閃電貸攻擊。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken
2.調用borrow函數借出WETH
3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現,提款會先通過burn函數去燃燒憑證
Beta Finance:資產橋接使用了Multichain ,建議用戶改為Avalanche Bridge:6月1日消息,DeFi 衍生品 Beta Finance 發推稱,其使用了 Multichain 的基礎設施在 Avalanche 和 BNBChain 之間進行橋接,鑒于 Multichain 的現狀,建議用戶在提取 BETA 代幣時使用 Avalanche Bridge。但 Beta Finance 將繼續保持現有項目在 Multichain 網絡上提供流動性,以允許用戶順利橋接,Avalanche 和 BNBChain 之間的橋接仍然可以被處理。[2023/6/1 11:52:33]
而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數,攻擊者利用這點重入了合約的liquidationERC721函數
BUSD市值跌破90億美元,三周內蒸發45%:3月5日消息,CoinMarketCap數據顯示,BUSD市值在三周內蒸發45%,目前已經跌破90億美元,當前市值89.16億美元。[2023/3/5 12:43:40]
4.在liquidationERC721函數中,攻擊者先支付了WETH并接收doodlenft,接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證,同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH,但由于vars變量是在liquidationERC721函數中定義的,因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為。
數據:6月Solana鏈上活躍地址數超BTC和ETH:7月14日消息,據AssetDash發布的推文,Kraken研究報告指出,6月,Solana鏈上活躍地址數為965,000,BTC為925,000,ETH為440,000,Solana超BTC和ETH。[2022/7/14 2:13:18]
5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識,假如借款標識為false,則不會判斷用戶的負債,故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利
此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題,并且在清算函數中使用的是舊的vars的值進行判斷,導致了即使重入后再借款,但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。
攻擊交易:0x05d65e0adddc5d9ccfe6cd65be4a7899ebcb6e5ec7a39787971bcc3d6ba73996
來源:金色財經
標準普爾500指數于6月13日正式進入熊市,成為該指數過去140年來經歷的第20個熊市。加密市場方面,由于美聯儲鷹派加息以及多個加密公司暴雷事件在第二季度打擊了市場情緒,比特幣暴跌了60%以上.
1900/1/1 0:00:00雪崩時,沒有一片雪花是無辜的。在全球經濟下行的背景下,加密圈的寒冬以頻頻爆雷開啟。隨著資本、項目紛紛爆雷,數字貨幣持續下跌,迎來漫長熊市,Crypto遭遇行業危機,越來越多加密企業紛紛“裁員求生.
1900/1/1 0:00:00以太坊是世界第二大數字貨幣,也是最流行的去中心化應用程序平臺。然而,以太坊目前有一定的局限性。它的主要缺點之一是可擴展性.
1900/1/1 0:00:00本文是根據日本媒體《橫濱閱讀器》(YokohamaoReader)的報導。普惠金融,又稱為惠普金融、包容性金融.
1900/1/1 0:00:002022年7月8日的以太坊價格分析對全球第二大加密貨幣持樂觀態度,因為該代幣在未來幾天創下更高高點的可能性仍然很大.
1900/1/1 0:00:00有很多關于比特幣的預測在加密貨幣空間中流傳。然而,確定數字資產將落入的正確水平一直是最艱巨的任務之一.
1900/1/1 0:00:00