BTC/HKD+0.28%
ETH/HKD+0.17%
LTC/HKD+4.3%
DOT/HKD+1.11%
ADA/HKD+0.92%
SOL/HKD-0.3%
XRP/HKD+1.44%
DOGE/US+1.28%2020年11月30日,據慢霧區情報,以太坊AMM代幣兌換協議SushiSwap遭遇攻擊,損失約1.5萬美元。慢霧安全團隊第一時間介入分析,并以簡訊的形式分享,供大家參考。
背景提要
SushiSwap項目中SushiMaker合約的作用是用于存放SushiSwap中每個交易對產生的手續費。其中手續費會以SLP(流動性證明)的形式存放在合約中。SushiMaker合約中有一個convert函數,用于將從每一個交易對中收集的手續費通過調用各自交易對的burn函數獲得對應的代幣,然后將這些代幣轉換成sushi代幣,添加到SushiBar合約中,為SushiBar中抵押sushi代幣的用戶增加收益,而此次的問題就出在SushiMaker合約。
Anchorage Digital:銀行業務子公司不會受裁員影響:3月15日消息,Anchorage Digital今日宣布將裁員75人,但該公司發言人表示,旗下受美國貨幣監理署監管的數字資產銀行子公司Anchorage Digital Bank業務不會受到裁員影響,而且客戶資產也不會因為最近加密友好銀行Silvergate Bank和硅谷銀行倒閉而面臨風險。
今日早些時候消息, Anchorage Digital表示將裁員75人,約占員工總數的20%。(Forkast)[2023/3/15 13:05:24]
攻擊流程
網易:與央視網達成合作 搭建網絡春晚元宇宙分會場:金色財經報道,網易11日宣布,公司與央視網達成合作,調動網易雷火、網易伏羲、網易互娛AI Lab、網易區塊鏈等多個部門,集合數字孿生、區塊鏈、AI作畫、AI歌聲合成等技術,為網絡春晚觀眾搭建首個元宇宙會場,可實現萬人實時互動。[2023/1/11 11:06:03]
1、攻擊者選中SushiSwap中的一個交易對,如USDT/WETH,然后添加流動性獲得對應的SLP(USDT/WETH流動性證明,以下簡稱SLP),使用獲得的SLP和另外的少量WETH創建一個新的SushiSwap交易對,然后得到新代幣池的SLP1(WETH/SLP(USDT/WETH)流動性證明,以下簡稱SLP1)轉入?SushiMaker合約中。
報告:Ripple的XRP持有量首次低于總流通量的50%:10月28日消息,根據Ripple發布的2022年第三季度XRP市場報告,Ripple的XRP持有量首次低于總流通量的50%,即在Ripple的各種錢包持有的XRP數量首次低于500億枚,這駁斥了有關于該公司的XRP所有權表明XRP Ledger由Ripple控制的說法。此外,在目前XRPL上運行的130多個驗證者節點中,只有4個是Ripple運行的。
此外,報告披露Ripple第三季度XRP的總凈銷售額為3.1068億美元,而上一季度為4.089億美元。Ripple還強調其跨境支付產品ODL已在巴西推出,將支持巴西和墨西哥之間的交易。10月17日,超過80%的驗證者投票支持在XRPL主網上激活XLS-20 NFT修正案,預計該修正案將于2022年第四季度生效。[2022/10/28 11:52:21]
2、調用SushiSwap的convert函數,傳入的token0為第一步獲得的SLP,token1為WETH。調用convert函數后,SushiMaker合約會調用token0和token1構成的代幣池的burn函數燃燒SLP1,燃燒掉攻擊者在第一步中打入SushiMaker合約中的SLP1,得到WETH和SLP。
3、SushiMaker合約的convert函數緊接著會調用內部的_toWETH函數將burn獲得的代幣轉換成WETH,由于在第二步SushiMaker合約通過burn獲得了SLP和WETH。其中WETH無需轉換,只需轉換SLP。此時,轉換將會通過調用SLP/WETH交易對進行轉換,也就是攻擊者在第一步創建的交易對。由于SushiMaker合約在轉換時會將所有的balanceOf(token0)轉換成WETH,這里傳入的token0為SLP,于是合約將合約中所有的SLP通過SLP/WETH交易對進行兌換(兌換的SLP包含USDT/WETH交易對每次swap產生的收益和在第二步合約通過burn函數獲得的SLP)。而SLP/WETH代幣池是攻擊者創建的,攻擊者只需在初始化的時候添加少量的WETH,就可以在SushiMaker交易對進行兌換的過程中,用少量的WETH換取SushiMaker合約中對應交易對的所有的SLP。
4、攻擊者使用burn函數在SLP/WETH交易對中燃燒掉自己的SLP1,拿到大量的SLP和小量的WETH,并繼續對其他流動性池重復該過程,持續獲利。
總結
攻擊者使用SLP和WETH創建一個新的代幣池,使用新代幣池的SLP1在SushiMaker中進行convert,使用少量的SLP將SushiMaker合約中的所有SLP轉到自己創建的代幣池中,即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程,持續獲利。
By:??慢霧安全團隊
據Cointelegraph消息,11月30日,一位匿名比特幣交易員在三次交易中,僅在一分鐘內轉移了132255枚比特幣,約合13億美元.
1900/1/1 0:00:00尊敬的OKEx用戶: OKEx將支持XRP持倉用戶空投Spark(SPARK)的計劃。具體安排如下:一、充值與提現2020年12月11日20:00(HKT)將暫停XRP充值功能和提現功能,交易功.
1900/1/1 0:00:00無論是借方還是貸方,都要在自由約定的借貸市場中各自把握合理借貸的尺度,讓借貸市場為生態發展創造真正的價值.
1900/1/1 0:00:00最近兩周,USDT增發量為12億美元,創下歷史記錄。根據coingecko最新數據顯示,目前USDT最新市值為190億美元,較2020年初的42億美元,市值增長了近5倍.
1900/1/1 0:00:00眾所周知,區塊鏈發展已經有10年左右,至今,我們已經初步實現了幾個類別的“去中心化”。比特幣,實現了貨幣的去中心化;以太坊,實現了計算的去中心化;然而還有一個大類,就是以IPFS/Filecoi.
1900/1/1 0:00:00尊敬的ZT用戶: 根據ETC分叉規則,EthereumClassic在區塊高度11,700,000的硬分叉升級,將于2020年11月28日上午10:00暫停ETC充值、提現業務,交易不受影響.
1900/1/1 0:00:00
加密貨幣交易所
