加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > BNB價格 > Info

黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元-ODAILY_USD:XUSD幣

Author:

Time:1900/1/1 0:00:00

北京時間2023年2月16日凌晨,Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊,被盜走約900萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約900萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池,并獲得4400萬LP-USDC。

CZ:黑客合約不是“Binance”智能合約,會與執法部門密切合作凍結黑客資金:金色財經報道,Binance創始人CZ在社交媒體上表示,加密行業里的開發人員越來越多,出現開發者私鑰被盜的可能性就越大,有好有壞。在決定凍結黑客地址之前,Binance需要時間驗證,否則任何人都會要求Binance將其他人的地址列入黑名單,這與生活中的大多數事情一樣,需要一種平衡。在凍結黑客資金這類情況下,Binance團隊一直與執法部門密切合作。在回應Binance是否實在測試如何處理黑客合約問題時,CZ表示并不是“Binance”智能合約,而Ankr是DeFi生態系統中的獨立項目團隊。[2022/12/3 21:19:01]

2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。

動態 | 黑客正在將5月從幣安盜取的比特幣轉換成法幣:據CoinDesk消息,Coinfirm的一項新分析顯示,幣安5月被盜的比特幣已流向了多個不同的錢包。Coinfirm通過分析交易活動發現,黑客正在將他們從交易所獲得的加密資產轉換成法幣,并已經開始在各大交易所清算比特幣。 Coinfirm的Grant Blaisdell表示:“對黑客使用的一個主鏈進行分析后,得知他們正在Bitfinex、Bitmex等九所交易所清算至少1.8087枚BTC(約合21000美元)。”[2019/7/16]

3.該平臺的借貸限額被設置為95%,這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。

動態 | 黑客向美國時裝設計師發送勒索郵件 要求支付價值583美元的BTC:據TNW消息,美國時裝設計師Misha Nonoo經營的時裝公司成了黑客的目標。一名黑客向她發送了威脅郵件,聲稱可通過間諜軟件黑進客戶設備。黑客要求向其比特幣地址發送價值583美元的BTC,否則將會公布目前獲得的所有照片。Misha Nonoo據稱安排了哈里王子和其妻子Meghan Markle的第一次見面和相親。[2019/4/23]

4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。

5.由于借來的USP數額沒有超過限額,協議的isSolvent值將總是返回true。

6.由于isSolvent變量為true,攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了43,999,999,921,036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約850萬美元。

2,425,762USDC

1,946,900USDC.e

1,552,550USDT

1,217,581USDT.e

687,369BUSD

691,984DAI.e

在撰寫本文時,共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產;171,000美元在攻擊者的地址;399,400美元在一個Aave池。

漏洞分析

造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的95%的借款限額,那么solvent的值將為true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特,獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。

Tags:USDANCSDCUSDCXUSD幣Pera Financeusdc幣暴雷cusdc幣是什么

BNB價格
一文盤點Sui即將上線的13款鏈游_SUI:THE

Sui開發公司MystenLabs日前宣布,從5月15日起,其11個游戲合作伙伴的游戲將在Sui區塊鏈陸續上線.

1900/1/1 0:00:00
Web3中的營銷:如何在2023年獲得優勢-ODAILY_WEB:WEB3

Mar.2022,Daniel在過去的一年里,讓人們對你的Web3項目或協議感興趣已經變得越來越有挑戰性。許多曾經充滿希望的項目因為各種不同的原因,都在熊市中倒下了.

1900/1/1 0:00:00
Messari:解讀MEME幣三代目PEPE的崛起之路-ODAILY_PEPE:MemePad

原創編譯:BlockTurbo 關鍵洞察 PEPE已成為加密貨幣歷史上增長最快的ERC-20代幣,在短短23天內獲得了10億美元的市值和107,000個持有者;PEPE引發了Meme幣的復興.

1900/1/1 0:00:00
孫宇晨:波場TRON和TRX在大中華區擁有強大的影響力-ODAILY_TRO:rond幣價

2月20日,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下在社交媒體表示,TRX是近年來廣受歡迎的加密貨幣之一,TRX在中國內地和香港已經建立了強大的影響力.

1900/1/1 0:00:00
Zk Rollup如何成為Layer2終極贏家?-ODAILY_ROLL:以太坊最新價格人民幣

通常來說,實現網絡安全和去中心化的同時,提高可擴展性是不可能的。這一挑戰被稱為三重困境,已被證明是區塊鏈架構中最難解決的問題之一.

1900/1/1 0:00:00
Foresight Ventures Weekly Brief:市場窄幅震蕩,華資回歸主流-ODAILY_FOR:Play It Forward DAO

市場觀點: 1、宏觀流動性 貨幣流動性趨緊。美聯儲2月會議紀要重申抗擊通脹的強硬立場。市場預計美聯儲將在3月、5月和6月分別加息25個基點,降息預期大幅減弱.

1900/1/1 0:00:00
ads