加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 瑞波幣 > Info

黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元_USD:SPENT

Author:

Time:1900/1/1 0:00:00

北京時間?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平臺Platypus?Finance遭遇閃電貸攻擊,被盜走約900?萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約?900?萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的?4400?萬?USDC?存入?PlatypusUSDC?池,并獲得?4400?萬LP-USDC。

2.攻擊者將這?4400?萬?LP-USDC?存入?MasterPlatypusV?4?。

賓夕法尼亞大學區塊鏈黑客松結果公布:金色財經報道,賓夕法尼亞大學區塊鏈黑客松(Penn Blockchain Hackathon)最終獎勵名單在全球開發者激勵平臺DoraHacks.io正式公布。經評選,在29支申請項目中共8支優秀隊伍獲獎,共同分享3600美元獎勵。獲得四大賽道冠軍的項目分別是:Opti(EVM track),Inked(Solana track),Synopt (Avalanche track),Dedrop(Data track)。

據悉,Penn Blockchain Hackathon2023以Real World Utility為主題,旨在鼓勵支持高實用性開源項目建設。[2023/2/18 12:15:05]

3.該平臺的借貸限額被設置為?95%?,這意味著攻擊者最多可以用他們的?4400?萬?LP-USDC?借到大約?4180?萬?USP。

安全團隊:BNB Chain上加密項目ORT被利用,黑客獲利約7萬美元:金色財經報道,據區塊鏈安全審計公司Beosin監測顯示,BNBChain上的加密項目ORT被利用,黑客獲利約7萬美元。其中黑客首先調用INVEST函數,這個函數會調用_Check_reward函數來計算用戶的獎勵,但是黑客的duration變量為0,所以會直接返回total_percent變量作為reward參數,然后黑客調用withdraw And Claim函數提取獎勵,獲取total_percent數量的ORT代幣,重復上述步驟獲利。[2023/1/17 11:16:02]

4.攻擊者在?PlatypusTreasure?合約中調用了borrow來鑄造大約?4180?萬?USP。

亞特蘭大政府恢復網站費用已遠超挖礦黑客勒索費用:據Slashgear報道,美國亞特蘭大政府官員為恢復被挖礦黑客攻擊的網站,已經花費超過250萬美元。3月22日,亞特蘭大市信息系統遭挖礦黑客襲擊,黑客要求支付價值5.1萬美元的比特幣即恢復系統,遭到了官員拒絕。[2018/4/24]

5.由于借來的?USP?數額沒有超過限額,協議的isSolvent值將總是返回?true。

6.由于isSolvent變量為?true,攻擊者可以調用EmergencyWithdraw來提取其質押的?4400?萬?LP-USDC?全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了?43,?999,?999,?921,?036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約?850?萬美元。

2,?425,?762USDC

1,?946,?900USDC.e?

1,?552,?550USDT

1,?217,?581USDT.e

687,?369BUSD

691,?984DAI.e?

在撰寫本文時,共大約?900?萬美元被盜。其中攻擊者部署的合約中仍有價值?850?萬美元的資產;171,?000?美元在攻擊者的地址;399,?400?美元在一個?Aave?池。

漏洞分析

造成該事件的漏洞在于?MasterPlatypusV?4?合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的?95%?的借款限額,那么solvent的值將為?true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在?CertiK?官方推特進行了播報。歡迎大家隨時關注?CertiK?官方推特,獲取更多與漏洞、黑客襲擊以及?RugPull?相關的社群預警信息。

Tags:USDUSDCSDCENTNUSD幣PCUSDC幣USDC價格SPENT

瑞波幣
一文詳解Arbitrum上的SLG游戲MetaLine_ALI:INE

近期,Arbitrum上游戲項目的熱度持續走高,首先是TreasureDAO、Thebeacon,繼而是Trident,這些項目在社區均引起了不少玩家的關注.

1900/1/1 0:00:00
OpenLeverage Net Buying Competition: 1,260,000 OLE Are Up For Grabs!

ToshowappreciationforKuCoinusers''supportofOpenLeverage(OLE).

1900/1/1 0:00:00
ZKE將上線 ZEN 永續合約_ZEN:ORI

注意: ?根據市場風險狀況,ZKE可能調整合約參數,包括調整最小變動價格、最大杠桿、初始保證金、維持保證金等重要參數.

1900/1/1 0:00:00
SEC重罰明星“喊單”,還有哪些喊單被罰的名人?_SEC:EMAX

SEC最近動作頻頻,剛與Kraken和解沒幾天,就表示將訴訟BUSD的發行商Paxos。2月17日,SEC再次表示已提起訴訟,指控總部位于新加坡的Terraform和DoKwon策劃了數十億美元.

1900/1/1 0:00:00
ShapeShift回應美參議員:從不處理用戶資金,無法促進非法融資_SHA:APE

2月20日消息,去中心化交易平臺ShapeShift于2月19日在推特上表示,在情人節那天,ElizabethWarren試圖以ShapeShift為例,推動她最新的加密法案.

1900/1/1 0:00:00
幣安創新區上市 Gains Network(GNS)_GNS:Singularity

親愛的用戶:幣安創新區將於2023年02月17日19:30上線GainsNetwork,並開放以下現貨交易對.

1900/1/1 0:00:00
ads