BTC/HKD-0.21%
ETH/HKD-0.5%
LTC/HKD-0.59%
DOT/HKD-0.44%
ADA/HKD-0.85%
SOL/HKD+0.82%
XRP/HKD-3.02%
DOGE/US-0.65% 
北京時間2023年2月16日凌晨,Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊,被盜走約900萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約900萬美元。
攻擊步驟
三次攻擊,我們將選擇金額最大的用來解析流程:
1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池,并獲得4400萬LP-USDC。
CZ:黑客合約不是“Binance”智能合約,會與執法部門密切合作凍結黑客資金:金色財經報道,Binance創始人CZ在社交媒體上表示,加密行業里的開發人員越來越多,出現開發者私鑰被盜的可能性就越大,有好有壞。在決定凍結黑客地址之前,Binance需要時間驗證,否則任何人都會要求Binance將其他人的地址列入黑名單,這與生活中的大多數事情一樣,需要一種平衡。在凍結黑客資金這類情況下,Binance團隊一直與執法部門密切合作。在回應Binance是否實在測試如何處理黑客合約問題時,CZ表示并不是“Binance”智能合約,而Ankr是DeFi生態系統中的獨立項目團隊。[2022/12/3 21:19:01]
2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。
動態 | 黑客正在將5月從幣安盜取的比特幣轉換成法幣:據CoinDesk消息,Coinfirm的一項新分析顯示,幣安5月被盜的比特幣已流向了多個不同的錢包。Coinfirm通過分析交易活動發現,黑客正在將他們從交易所獲得的加密資產轉換成法幣,并已經開始在各大交易所清算比特幣。 Coinfirm的Grant Blaisdell表示:“對黑客使用的一個主鏈進行分析后,得知他們正在Bitfinex、Bitmex等九所交易所清算至少1.8087枚BTC(約合21000美元)。”[2019/7/16]
3.該平臺的借貸限額被設置為95%,這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。
動態 | 黑客向美國時裝設計師發送勒索郵件 要求支付價值583美元的BTC:據TNW消息,美國時裝設計師Misha Nonoo經營的時裝公司成了黑客的目標。一名黑客向她發送了威脅郵件,聲稱可通過間諜軟件黑進客戶設備。黑客要求向其比特幣地址發送價值583美元的BTC,否則將會公布目前獲得的所有照片。Misha Nonoo據稱安排了哈里王子和其妻子Meghan Markle的第一次見面和相親。[2019/4/23]
4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。
5.由于借來的USP數額沒有超過限額,協議的isSolvent值將總是返回true。
6.由于isSolvent變量為true,攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。
7.攻擊者在支付了移除流動性的手續費用后,總共提取了43,999,999,921,036USDC。
8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約850萬美元。
2,425,762USDC
1,946,900USDC.e
1,552,550USDT
1,217,581USDT.e
687,369BUSD
691,984DAI.e
在撰寫本文時,共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產;171,000美元在攻擊者的地址;399,400美元在一個Aave池。
漏洞分析
造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。
函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。
如果用戶的債務額不超過用戶抵押物的95%的借款限額,那么solvent的值將為true。
然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。
通過安全審計,可以發現該設計缺陷問題。
本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特,獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。
Sui開發公司MystenLabs日前宣布,從5月15日起,其11個游戲合作伙伴的游戲將在Sui區塊鏈陸續上線.
1900/1/1 0:00:00Mar.2022,Daniel在過去的一年里,讓人們對你的Web3項目或協議感興趣已經變得越來越有挑戰性。許多曾經充滿希望的項目因為各種不同的原因,都在熊市中倒下了.
1900/1/1 0:00:00原創編譯:BlockTurbo 關鍵洞察 PEPE已成為加密貨幣歷史上增長最快的ERC-20代幣,在短短23天內獲得了10億美元的市值和107,000個持有者;PEPE引發了Meme幣的復興.
1900/1/1 0:00:002月20日,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下在社交媒體表示,TRX是近年來廣受歡迎的加密貨幣之一,TRX在中國內地和香港已經建立了強大的影響力.
1900/1/1 0:00:00通常來說,實現網絡安全和去中心化的同時,提高可擴展性是不可能的。這一挑戰被稱為三重困境,已被證明是區塊鏈架構中最難解決的問題之一.
1900/1/1 0:00:00市場觀點: 1、宏觀流動性 貨幣流動性趨緊。美聯儲2月會議紀要重申抗擊通脹的強硬立場。市場預計美聯儲將在3月、5月和6月分別加息25個基點,降息預期大幅減弱.
1900/1/1 0:00:00
加密貨幣交易所
