北京時間2022年8月2日13點,CertiK安全團隊監測到ReaperFarm的ReaperVaultV2合約被惡意利用,導致了價值超過160萬美元的損失。
攻擊者利用ReaperVaultV2合約中的一個漏洞——可以銷毀其他用戶的vaultshare并提取代幣,以此從多個vault提取了大量的代幣。
卡巴斯基GReAT團隊研究人員發現一個木馬化的DeFi應用程序:金色財經消息,國家網絡威脅情報共享開放平臺發表文章稱,近日,卡巴斯基GReAT團隊研究人員發現了一個木馬化的DeFi應用程序,其編譯時間為2011年11月,與Lazarus組織使用的其他工具有許多相似之處。該應用程序為一個合法DeFi錢包,可用于保存和管理加密貨幣,但是在執行時會植入一個惡意軟件。該惡意軟件是一個功能齊全的后門,用于控制被感染的受害者主機。[2022/4/18 14:31:56]
截至北京時間2022年8月3日8點,160萬DAI、62ETH以及200Matic已被存入TornadoCash。
775萬枚USDT從Tether Treasury錢包轉出:據WhaleAlert數據顯示,北京時間03月27日11:15,775萬枚USDT從Tether Treasury錢包轉入0x8bb0開頭地址,按當前價格計算,價值約777.2萬美元。[2020/3/27]
攻擊步驟
①攻擊者部署了一個攻擊者合約,通過該合約,攻擊者可在一次交易中從Reapervault提取多個用戶的資產。
4000萬枚USDT從Tether Treasury錢包轉入Bitfinex交易所:Whale Alert數據顯示,北京時間3月16日20:03,4000萬枚USDT從Tether Treasury錢包轉入Bitfinex交易所,按當前價格計算,價值約4043.9萬美元。[2020/3/16]
②ReaperVaultV2合約并未檢查shareowner與messagesender之間的關系,因此攻擊者可以多次通過攻擊者合約提取vault用戶的資產。
③攻擊者將從金庫提取的代幣換成DAI、ETH和Matic,并將其存入TornadoCash。
漏洞交易
漏洞交易之一:
https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5
其余漏洞交易:
https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a
漏洞分析
在ReaperVaultV2合約的`withdraw()`函數中,vaultshare所有者可以是msg.sender以外的賬戶。同時,所有者與msg.sender之間的關系或是allowance未被選中,意味著人們可以從vault提取其他用戶的資產。
寫在最后
本次攻擊事件本可通過審計發現「缺乏訪問控制」這一風險因素。該風險因素將被歸類于嚴重等級的風險。
而除審計外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
據官方消息,SUN平臺已對智能礦池進行升級。 美國證券交易委員會收到美國兩黨關于加密貨幣監管的信函:3月16日消息,美國證券交易委員會收到美國兩黨關于加密貨幣監管的信函.
1900/1/1 0:00:00重點 ?切源于資源定價 FuelV1是在以太坊上推出的第?個optimisticrollup,是?前唯?具有欺詐證明、不可變的智能合約和?許可區塊?產的rollup。它是為P2P?付設計的.
1900/1/1 0:00:00July2022,SimonDataSource:FootprintAnalyticsTron&USDDDashboard5月開始加密貨幣的熊市來臨了,各公鏈TVL下跌明顯.
1900/1/1 0:00:00Web3.0生態系統正在迅速崛起,也因此人們的目光聚集于Web3.0領域從而忽略了區塊鏈技術在元宇宙、NFT、加密貨幣之外還有很多用例和使用場景.
1900/1/1 0:00:00凡事無絕對,ETH的PoSvsPoW利弊,必須要拆成不同維度來看,才能得出優劣變化。如果把安全和去中心化混淆來談,就變成了雞同鴨講,大家“各論各的”,那討論就沒有意義.
1900/1/1 0:00:00據最新消息,CryptoDep發布了“完全稀釋市值為10億—100億美元的頂級項目”榜單,TRX高居第二,30日價格上漲達16.1%.
1900/1/1 0:00:00