慢霧安全團隊發布了BonqDAO項目攻擊事件簡析,此次攻擊的根本原因在于攻擊者利用預言機報價所需抵押物的成本遠低于攻擊獲得利潤從而通過惡意提交錯誤的價格操控市場并清算其他用戶。攻擊者獲得了大量的WALBT和BEUR代幣。截止目前,94.6萬ALBT已被兌換為695ETH,55.8萬BEUR已被兌換為53.4萬DAI。黑客仍在持續兌換ALBT為ETH,暫未發現資金轉移到交易所等平臺。
慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]
具體分析如下:1.BonqDAO平臺采用的預言機來源是TellorFlex自喂價與Chainlink價格的比值,TellorFlex價格更新的一個主要限制是需要價格報告者先抵押10個TRB才可以進行價格提交更新。而在TellorFlex中可以通過updateStakeAmount函數根據抵押物的價格進行周期性的更新價格報告者所需抵押的TRB數量。2.由于TellorFlex預言機合約的TRB抵押數額一開始就被設置成10個,且之后沒有通過updateStakeAmount函數進行更新,導致攻擊者只需要抵押10個TRB后就能成為價格報告者并通過調用submitValue函數修改預言機中WALBT代幣的價格。3.攻擊者對價格進行修改后調用了Bonq合約的createTrove函數為攻擊合約創建了trove,該trove合約的功能主要是記錄用戶抵押物狀態、負債狀態、從市場上借款、清算等。4.緊跟著攻擊者在協議里進行抵押操作,接著調用borrow函數進行借款,由于WALBT代幣的價格被修改而拉高,導致協議給攻擊者鑄造了大量BEUR代幣。5.在另一筆攻擊交易中,攻擊者利用上述方法修改了WALBT的價格,然后清算了市場上其他存在負債的用戶以此獲得大量的WALBT代幣。6.根據慢霧MistTrack分析,1.13億WALBT已在Polygon鏈burn并從ETH鏈提款ALBT,后部分ALBT通過0x兌換為ETH;部分BEUR已被攻擊者通過Uniswap兌換為USDC后通過Multichain跨鏈到ETH鏈并兌換為DAI。
動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”(又稱地址池污染),是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法,漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現,以太坊同類鏈,由于使用了兼容的握手協議,無法區分節點是否屬于同個鏈,導致地址池互相污染,節點通信性能下降,最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測,以免出現影響主網穩定的攻擊事件出現。[2019/4/18]
此前今日早些時候消息,BonqDAO和AllianceBlock在攻擊事件中損失8800萬美元。
突發 | 慢霧區發布以太坊代幣“假充值”漏洞攻擊預警:慢霧區發布以太坊代幣“假充值”漏洞攻擊預警,稱相關交易所、中心化錢包、代幣合約需要特別警惕,盡快自查以太坊相關代幣的充值是否存在異常。此次受影響的主要是以太坊上基于ERC20、ERC721、ERC223等標準發行的代幣,已經發現有交易所及中心化錢包遭受此攻擊。這次攻擊事件的披露前后相關時間線大致如下:2018/6/28 USDT “假充值”漏洞攻擊事件披露;2018/7/1 開始分析知名公鏈是否存在類似問題;2018/7/7 捕獲并確認以太坊相關代幣“假充值”漏洞攻擊事件;2018/7/8 分析此次影響可能會大于 USDT “假充值”漏洞攻擊事件,并迅速通知相關客戶及慢霧區伙伴;2018/7/9 發出第一次預警。計劃:2018/7/11 不出意外,細節報告會正式公開。[2018/7/9]
Tags:LBTALBTETH以太坊Lbtc閃電比特幣albt幣前景eth官網怎么進入以太坊幣價格今日行情價格紅色是漲嗎
加密交易所Bitget宣布推出開啟Arbitrum+AI生態活動周,將在創新區重點上線Arbitrum+AI生態優質項目.
1900/1/1 0:00:00據TechCrunch報道,風險投資公司FJLabs聯合創始人FabriceGrinda透露,該風投旗下兩支基金已獲得2.6億美元融資承諾.
1900/1/1 0:00:00據官方消息,Axia8Ventures公布近期重要人事更新,具體如下:ZoePeng提升為Axia8Ventures的GeneralPartner,未來將帶領項目投前、后,以及深度項目孵化.
1900/1/1 0:00:003D虛擬形象NFT項目HALOOFFICIAL發文公布空投細節,空投Token總量為1000萬枚.
1900/1/1 0:00:00Uniswap創始人HaydenAdams發推文稱:“Polygon需要公開采取行動來解決其重組問題,昨天157個區塊重組(5分鐘的歷史)和12月120個區塊重組是糟糕的.
1900/1/1 0:00:00推特用戶Tedtheeast表示,DigiDaigaku上了超級碗,吸引了一批流量到NFT圈,同時也導致很多人被釣魚鏈接盜NFT.
1900/1/1 0:00:00