據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析
彭博:2023年ETH支撐位或在1000美元,但有望跑贏比特幣和傳統證券:金色財經報道,據彭博發布最新加密報告分析顯示,2023 年以太坊支撐位可能會在 1, 000 美元區間。雖然 從 12 月開始,以太坊的關鍵支撐位將會來到 1, 000 美元區間。如果該支撐位被突破,可能會帶來更多的止損賣盤,但即便如此, 2023 年以太坊依然有望繼續跑贏比特幣和股票,以太坊或許會再次經歷一段痛苦時間。以太坊在 2021 年完成升級, 2022 年又成功轉向權益證明(PoS)共識機制,這些里程碑事件都對其表現產生影響。[2022/12/8 21:30:22]
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
20,000枚ETH從未知錢包轉移到Binance:金色財經報道,據Whale Alert數據顯示,20,000枚ETH (價值約33,439,102USD) 從未知錢包轉移到Binance。[2022/9/7 13:12:38]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:
Solana流支付協議Zebec與DeFi平臺Hawksight達成合作:8月20日消息,Solana流支付協議Zebec與DeFi平臺Hawksight達成合作,Zebec將提供Treasury Management服務,Hawksight為Zebec提供USDC自動化穩定收益池。[2022/8/20 12:37:07]
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
安全團隊:Solana生態錢包攻擊事件損失預計達800萬美元:8月3日消息,據派盾監測(PeckShield)顯示,Solana生態錢包大規模黑客攻擊事件可能是由于利用供應鏈問題竊取/發現錢包背后的用戶私鑰。到目前為止,估計損失為800萬美元。[2022/8/3 2:55:47]
到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
編者按:本文來自鏈捕手,作者:王大樹,Odaily星球日報經授權轉載。DeFi一直是行業熱議的賽道,在這個賽道越來越成熟后,開始被市場進行細分,除了常提及的借貸和DEX外,一些微創新的工具也逐漸.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:AriahKlages-Mundt,編譯:隔夜的粥,星球日報經授權發布。在這一系列文章中,我們將說明陀螺儀協議的穩定幣設計與其它穩定幣項目的對比.
1900/1/1 0:00:00編者按:本文來自WebX實驗室Daily,Odaily星球日報經授權轉載。從DeFi熱潮盛行之時,擴容就一直是以太坊難以擺脫的魔咒,尤其是今年BSC等其他公鏈項目的成熟以及波卡平行鏈上線的有序推.
1900/1/1 0:00:00好的密碼管理工具需要滿足以下幾點要求:最好是免費的盡量開源——開源意味著你可以隨時檢查軟件的源代碼,知道其源代碼背后正在運行什么,可以確保沒有任何秘密跟蹤程序.
1900/1/1 0:00:00最近,NFT很火,為了追熱點,于是寫了這篇文章。針對NFT熱潮,萊特幣創始人李啟威發推表示:2021年的NFT和2017年的1CO、2013年的山寨幣之間有很多相似之處.
1900/1/1 0:00:00最近幣圈行情震蕩,有些人看到的是恐懼,有些人看到的是機會。如果感到恐懼,建議倉位回歸主流,并減倉到不會讓自己感到恐懼的倉位,保持理性.
1900/1/1 0:00:00