加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > ETH > Info

慢霧: yearn finance 的 DAI 策略池遭受攻擊系閃電貸攻擊所致_DAI:USDS

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧區情報,知名鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:1)攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;2)攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;3)攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;4)攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;6)攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;7)攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;8)由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者;9)重復上述3-8步驟5次,并歸還閃電貸,完成獲利。

慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

聲音 | 慢霧:EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后,聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現:從昨日開始,存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊,并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施,嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外,確保以下幾點防止其他類型的“假充值”攻擊: 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

聲音 | 慢霧:使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息,近日,注意到撞庫攻擊導致用戶數字貨幣被盜的情況,具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測,同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為,被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全,但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系,且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致,這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

Tags:DAIUSDBNBWBNBRDAIUSDSPink BNBwbnb和bnb區別和聯系

ETH
2.03 比特幣晚間簡評_以太坊:以太坊最新價格行情昭

午間給出行情分析,建議反彈37000附近空單入場,目標36500-36000,止損37500,沒有反彈到入場點位,大餅午間12:00在36827.52一線遇壓回調,震蕩下行回調漲幅.

1900/1/1 0:00:00
Staked 回應節點遭到 slash 懲罰:由技術性問題導致,將全額賠償受影響客戶_STA:LAS

權益質押服務商Staked針對此前超70節點集體遭到slash懲罰回應稱,2月2日有75個運行在Staked的節點遭到slash懲罰,這主要是由于技術性問題,客戶將得到全額賠償.

1900/1/1 0:00:00
Gate.io “理財寶”PoS理財上線EOS活期理財(第六期),年化幣收益3%_GAT:NGATiger

“Gate.io理財寶”是一個區塊鏈資產持幣生息,穩定收益型投資平臺,包括定期,PoS活期理財等多種類型的產品,為穩健型投資用戶提供最佳投資渠道.

1900/1/1 0:00:00
歐易OKEx關于DOGEUSDT永續合約的資金費率規則調整公告_okex:TORN

尊敬的歐易OKEx用戶:為保證永續合約更好的錨定現貨指數價格,歐易OKEx永續合約將于2021年01月29日16:00(HKT)上調DOGEUSDT合約的資金費率上限).

1900/1/1 0:00:00
Etherscan:以太坊 2020 數據回顧_ETH:BTC

2020年對所有人來說都是充滿挑戰的一年,于以太坊,這是積極發展的一年。在這篇文章中,我們來聊聊在以太坊上看到的一些趨勢,包括: 基礎數據 DeFi Eth2和Layer2 以太坊上的比特幣 N.

1900/1/1 0:00:00
每日行情解讀 | BTC將開啟新一輪上漲趨勢,后市有望沖擊前高_BTC:SDT

我們曾在1月25日《每日行情解讀|BTC上方拋壓較重,或將在2月開始大漲》文章中提及,在2月3日前后,有一批GBTC陸續解鎖,機構對BTC的買入量預計將逐漸增加,從而促進BTC上漲.

1900/1/1 0:00:00
ads