加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 瑞波幣 > Info

簡析meerkat跑路事件 如何躲避DeFi野礦?_FOR:PRO

Author:

Time:1900/1/1 0:00:00

內容來自“大橙子&小同的干貨鋪”的知識星球,作者康納Repeat。

1. AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換

2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。

安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock 地址,用于混淆視聽

安全團隊:LPC項目遭受閃電貸攻擊簡析,攻擊者共獲利約45,715美元:7月25日,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下:攻擊者先利用閃電貸從Pancake借入1,353,900個LPC,隨后攻擊者調用LPC合約中的transfer函數向自己轉賬,由于 _transfer函數中未更新賬本余額,而是直接在原接收者余額recipientBalance值上進行修改,導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD,最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC,攻擊者共獲利178 BNB,價值約45,715美元,目前獲利資金仍然存放于攻擊者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_ SLOT, 但讀取key卻為ADMIN_ SLOT。即O (歐)和0 (零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象

Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]

1.高度警惕任何包含proxy 方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險

2. never trust, always verify! 不要相信項目方給出的timelock“證據”, 對于未經審計的fork項目,務必逐個contract做好與原項目的diff (如果你做到了,就可以躲過meerkat的障眼法)

3.基于1更要養成良好的approve 管理意識,meerkat在跑路后仍然通過無限授權,盜取用戶錢包內資產,窮兇極惡。切勿麻痹大意,你永遠不知道你曾經授權過的土礦,是否包含proxy模式,是否已經替換了惡意合約!

4. timelock是安全底線,無論是HECO的LLC,還是BSC的popcornswap、meerkat,犯罪方式越發隱蔽的,但萬變不離其宗,都是無timelock、假timelock。 珍愛生命,遠離無鎖土礦

昨天案發后幾乎沒有看到個人或團隊有明確解析,考慮到未來模仿犯罪不可避免,索性公開信息希望做到安全教育的目的。老農務必提高自己的姿勢水平,留意此類風險。最后祝大家挖礦出入平安。

Tags:FORFORCEORCPROFORTEPhoenix Forceforce幣最新映射Propchain

瑞波幣
現階段以太坊價值大幅外溢 這6個Layer2項目或是最大受益者_EFI:ROL

2018 年的時候,我們以為 Layer2 (下文簡稱L2)近在眼前。三年過去了,我們卻發現它依舊離“改變區塊鏈”這個目標有著不短的距離.

1900/1/1 0:00:00
很多玩笑開著開著就成真了 比如 狗狗幣_狗狗幣:狗狗幣今日最新價格人民幣

原標題:狗狗幣啟示:交易所如何應對加密投資范式轉型?對于加密貨幣交易所而言,如果想在這場正在發生的投資范式轉型中立于不敗之地.

1900/1/1 0:00:00
金色觀察 | 一條推文250萬美元 如何參與買賣推文NFT_BLES:VAL

3月5日,Twitter創始人杰克·多西(Jack Dorsey)在推特上發布了一個新的應用程序,該程序允許人們使用ETH“購買”推文.

1900/1/1 0:00:00
爆火的比特幣 誰的生意?_比特幣:加密貨幣

這兩天的美股,又一次坐上了過山車。上周五晚上,可能是預知了1.9萬億投資計劃快要通過的好消息,持續下跌的道瓊斯指數開啟了800點的大逆轉.

1900/1/1 0:00:00
炒作還是創新?Twitter CEO的推文NFT拍賣價達250萬美元_VAL:Valuables

3月5日,Twitter創始人杰克·多西(Jack Dorsey)在推特上發布了一個新的應用程序,該程序允許人們使用ETH“購買”推文.

1900/1/1 0:00:00
對比11個DeFi協議收入機制 代幣持有人主要有三類收入_EFI:比特幣糖果比特幣現金

The Block對去中心化金融市場上的頭部協議收入狀況進行了分析,總體而言,許多DeFi協議都成功獲得了可觀收入.

1900/1/1 0:00:00
ads