加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

簡析meerkat跑路事件 如何躲避DeFi野礦?_MIN:USD

Author:

Time:1900/1/1 0:00:00

安全生產簡析下meerkat跑路事件

一、核心問題

1.AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換

2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。

LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

二、現場還原(以BUSD池為例)?

Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock地址,用于混淆視聽

慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61Cproxy合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_SLOT,但讀取key卻為ADMIN_SLOT。即O(歐)和0(零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象

三、結論和經驗

1.高度警惕任何包含proxy方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險

2.nevertrust,alwaysverify!不要相信項目方給出的timelock“證據”,對于未經審計的fork項目,務必逐個contract做好與原項目的diff(如果你做到了,就可以躲過meerkat的障眼法)

Tags:MINUSDBUSDADMgemini風暴時期的隊友SFUSD價格BUSDX Fueladm幣是什么

抹茶交易所
基于區塊鏈的去中心化應用的四種架構模式_區塊鏈:區塊鏈技術通俗講解無中介

基于區塊鏈的去中心化應用的四種架構模式 區塊鏈研究實驗室 剛剛 26 區塊鏈有各種各樣的用例集,從金融到去中心化互聯網。但是,大多數區塊鏈用例可以使用相對較少的模式來實現.

1900/1/1 0:00:00
金色晨訊 | 3月6日隔夜重要動態一覽_區塊鏈:AstroElon

21:00-7:00關鍵詞:Microstrategy、比特幣、XRP1.?Microstrategy再次購入205BTC.

1900/1/1 0:00:00
波卡風口 Polkatrain開啟IDO差異化競爭時代_POL:AIN

被視為跨鏈龍頭的Polkadot無疑是2021年的重頭戲,是為數不多能在DeFi大火后仍能從以太坊處奪走部分關注目光的市場焦點,在以太坊DeFi發展如火如荼的另外一個角落.

1900/1/1 0:00:00
加拿大投資管理公司Ninepoint Partners計劃將其比特幣信托轉換成比特幣ETF_OIN:ETF

在啟動其比特幣信托基金份額交易不到兩個月后,加拿大投資管理公司NinepointPartners正計劃將其信托服務改變為交易所交易基金.

1900/1/1 0:00:00
“萬物皆可NFT”的時代來了?_NFT:coinbase網頁版

不知道你有沒有在朋友圈刷到過下面這張圖片。 這張圖展現了香蕉在不同場景下的價格,當香蕉成為NFT的時候價格達到1萬美元,比它原來的身價翻了好幾千倍.

1900/1/1 0:00:00
以太坊2.0是否將超越比特幣?_以太坊:BTC

以太坊2.0是否將超越比特幣? 加密谷Live 剛剛 463 以太坊是很酷的。但問題是它非常復雜。我在2016年參與了以太坊。這是我做過的最好的決定之一.

1900/1/1 0:00:00
ads