加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

慢霧分析 AutoShark 被黑:黑客利用 AutoShark 策略池機制分兩步完成攻擊_ARK:SHARK

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區分析,幣安智能鏈DeFi項目AutoSharkFinance被黑,導致代幣價格閃崩。慢霧團隊針對攻擊過程分析如下:

由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備,所以整個攻擊其實分成了2步,這里主要分析的是第2筆的攻擊交易。

攻擊步驟如下:

1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;

關于慢霧安全審計未發現Parallel Finance漏洞的不實消息的聲明:7月11日消息,針對今日媒體報道慢霧安全審計了遭受重入攻擊的DeFi平臺Parallel Finance項目智能合約一事,慢霧安全再次聲明,近日發生重入攻擊的項目是Omni Protocol,該項目是Parallel Finance項目的另一個項目,慢霧審計的是Parallel Finance在波卡生態里的項目代碼,具體的審計報告可見原文鏈接。針對上述事件,慢霧將保留依法追究名譽侵犯的權利。

此前消息,DeFi平臺Parallel Finance遭受重入攻擊,導致了約200萬美元的損失。[2022/7/11 2:06:00]

2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;

慢霧:Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋,Moonbirds 發布安全公告,Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣,而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;

動態 | 慢霧預警:高清視頻會議系統Zoom存在高危漏洞:據慢霧區消息,知名高清視頻會議系統 Zoom 被披露出現高危漏洞。該漏洞利用過程及漏洞概念驗證代碼(PoC),攻擊者可以在同網段或遠程,通過構造惡意 UDP 數據包,針對使用 Zoom 桌面版本(包括 MacOS、Linux、Windows)的用戶進行遠程控制等攻擊。慢霧安全團隊注意到數字貨幣相關項目方流行使用 Zoom 來進行遠程視頻會議,Zoom 官方已經發布新版本修復了這個漏洞,請注意及時更新。[2018/12/3]

4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;

5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;

6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;

7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;

8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;

9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。

Tags:ARKSHASHARKBNBARKESHARE幣Yearn Shark Financebnb最新價格是多少

加密貨幣
對話OpenSea創始人:OpenSea的建立與NFT的未來_NFT:VIN

本文發布于xoogler.co的博客,經由深潮TechFlow翻譯。DevinFinzer于2017年推出了NFT市場OpenSea,當時作為早期的NFT項目開始引起人們的注意.

1900/1/1 0:00:00
My DeFi Pet完成100萬美元私募融資,Animoca Brands、Axia8等參投_ACH:YACHT

鏈捕手消息,基于BSC的NFT游戲MyDeFiPet近日完成100萬美元私募融資,投資方包括AnimocaBrands、SparkDigitalCapital、Axia8Ventures、OKE.

1900/1/1 0:00:00
對話祁超:詳解Celer的Layer2擴容新路徑_LAYER:Dragon Slayer

近日,由鏈捕手主辦的捕手學堂第二十四期邀請到了CelerNetwork中國區負責人祁超就《Layer2新戰事:Celer的打法與視野》進行了主題分享.

1900/1/1 0:00:00
Bit.Country 獲得400萬美金種子輪融資,Walsh Wealth Ventures領投_BIT:TUR

鏈捕手消息,去中心化世界Bit.Country宣布獲得400萬美金種子輪融資,本輪投資由沃爾什財富創投公司(WalshWealthVentures)、AnimocaBrands、Hypersph.

1900/1/1 0:00:00
上周加密市場共發生22起公開融資事件,創近期新低| 投融資周報_RES:Radditarium Network

據鏈捕手不完全統計,5月31日到6月6日期間,區塊鏈行業共發生22起公開投融資事件,為近幾個月融資數量最少的一周.

1900/1/1 0:00:00
加密世界的新序幕:比特 ETF 或將加速登場_比特幣:如何把泰達幣換成比特幣的錢

本文發布于白話區塊鏈,作者:一棵楊樹。4月14日晚,備受期待的Coinbase正式上線納斯達克,開盤即暴漲70%,市值一度逼近1000億美元大關,作為2021年以來最受行業矚目的大事件,Coin.

1900/1/1 0:00:00
ads