BTC/HKD-0.33%
ETH/HKD+1.19%
LTC/HKD+2.45%
DOT/HKD+1.84%
ADA/HKD+1.69%
SOL/HKD+2.71%
XRP/HKD+1.33%
DOGE/US+2.35%安全實驗室監測到以太坊上的DeFi協議IndexedFinance遭遇閃電貸襲擊,損失超1600萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。攻擊過程簡述
分析攻擊交易:
0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa
首先使用閃電貸通過Uniswap和ShushiSwap獲取啟動資金
2.通過借貸的AAVE/COMP/CRV/MKR/SNX代幣兌換礦池DEFI5中的UNI代幣(合約規定不允許轉賬超過礦池一半的代幣存量以及兌換超過三分之一的代幣存量,所以黑客進行了多次兌換)
MUFG完成Progmat Coin穩定幣的區塊鏈互操作性結算試驗:金色財經報道,日本最大銀行三菱日聯金融集團(MUFG)已經完成一項使用穩定幣結算數字證券的跨行業試驗。該銀行花費數年時間開發數字證券基礎設施Progmat,一個關鍵的要求是能夠通過穩定幣進行結算。因此,MUFG開發了Progmat Coin作為基礎設施,以支持來自多個受監管發行人的穩定幣。
試驗交付與支付(DvP)交易使用了基于R3 Corda企業區塊鏈的程序幣基礎設施上發行的穩定幣,該穩定幣在GoQuorum許可的區塊鏈上支付了證券。DataChain是互操作性元素的技術提供者。它使用了IBC,這是最初為Cosmos公共區塊鏈開發的跨鏈協議,帶有DataChain開源的附加模塊。[2023/4/27 14:31:13]
3.通過將UNI代幣用于添加流動性鑄造DEFI5LP代幣
廣州10條公交線可用數字人民幣支付乘車費:8月21日消息,8月19日,廣州市上線數字人民幣付款碼支付公交乘車費用的試點功能,成為國內同類城市中首個開通該功能的城市。乘客開通數字人民幣建設銀行錢包,即可在旅游觀光1線等10條公交線路,通過“數字人民幣”APP使用數字人民幣付款碼支付乘車費用,體驗安全便捷的數字化出行。(新華社)[2022/8/21 12:38:25]
4.向DEFI5礦池添加SUSHI代幣
5.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
美國加州監管機構命令Celcius停止在該州出售證券:8月10日消息,據Cointelegraph報道,美國加州金融保護與創新部(DFPI)已下令加密貨幣借貸平臺 Celcius 停止在加州銷售證券、營銷等。DFPI 認為 Celcius 和 CEO Alex Mashinsky 在提供加密利息賬戶時做出了重大失實陳述和遺漏,沒有向消費者正確解釋購入數字資產的風險。
上個月,DFPI 曾下令 BlockFi 和 Voyager 停止在該州提供服務。[2022/8/10 12:15:47]
6.通過將SUSHI代幣用于添加流動性鑄造DEFI5LP代幣
7.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
8.歸還閃電貸并將獲利轉移
漏洞成因分析
通過攻擊簡述獲取有效信息
1.黑客有意控制礦池中UNI代幣總量
2.黑客向礦池中添加了新代幣SHSHI
3.黑客通過鑄造、燃燒LP代幣獲利
通過源碼分析漏洞成因
1.檢查源碼發現函數extrapolatePoolValueFromToken被用于尋找礦池中第一個初始化且具有權重的代幣,據官方解釋該函數作用于以該代幣描述整個礦池的價值——即如果礦池中有10個UNI,權重為10%,那么該礦池總價值為100UNI。
由此黑客控制礦池中UNI代幣總量得到解釋,該行為是為了控制礦池總價值。
2.檢查源碼發現函數setMinimumBalance和函數gulp可以添加新代幣并獲得極大的權重。?由此黑客向礦池添加新代幣SUSHI得到解釋,該行為是為了獲得可控且具有極大權重的代幣。
綜合分析
合約設計中礦池的總價值被礦池中第一個初始化且具有權重的代幣用來描述,該代幣總量可被攻擊者控制
合約中可添加新代幣,新代幣可占據極大權重,添加新代幣方式可被攻擊者控制
合約中的資產可通過鑄造、燃燒LP代幣控制,鑄造LP代幣方式可被攻擊者控制
綜述該漏洞成因就是用一種代幣來描述整個礦池的價值,官方也給出了修改方案:取消該模式替換為用礦池中所有代幣余額的組合值來描述。
總結
此次攻擊屬于對礦池價值的單一描述,很容易被他人操控,開發人員應避免此類事件。
知道創宇區塊鏈安全實驗室?提醒各項目方,合約安全作為直接保障資金的防線需要得到最高的重視,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:SHIDEFDEFIUNIshibla幣今日行情PieDAO DEFI Small CapAmun DeFi Momentum IndexMetaGreenUniverse
“鏈上相城驅動未來”2021相城區區塊鏈產業創新發展論壇是蘇州市相城區政府聯合零識區塊鏈等發起的年度行業論壇.
1900/1/1 0:00:00尊敬的用戶: 為更好地保障用戶利益,AOFEX不斷升級專案審查標準,全面優化專案風險控制規則,AOFEX將定期審核上線數字資產.
1900/1/1 0:00:00本文是DAO民主投票系列的第一篇,直播鏈接:https://b23.tv/BbaJM3;去中心化的概念是顛覆的。千百年來,我們一直在講有序的故事,越是有序,越體現文明.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線HERA,並開啟HERA/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2021年10月22日17:00; HERA 項目簡介:HeroArena.
1900/1/1 0:00:00今日,CVX、NAX、DG已正式上線USDT、ETH交易池,XPNET、PHTR已正式上線USDT交易池,并開啟新版流動性礦池獎勵.
1900/1/1 0:00:00親愛的BitMart用戶:BitMart將于2021年10月29日上線代幣LEDGIS(LED)。屆時將開通LED/USDT交易對.
1900/1/1 0:00:00
加密貨幣交易所
