前言
北京時間2022年6月16日,知道創宇區塊鏈安全實驗室?監測到以太坊鏈上借貸項目InverseFinance因預言機設計問題被攻擊,損失約77BTC。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
被攻擊預言機合約:0xe8b3bc58774857732c6c1147bfc9b9e5fb6f427c
攻擊者地址:0x7b792e49f640676b3706d666075e903b3a4deec6
數據:過去一周主流Layer2中僅zkSync Era TVL實現增長,增幅為12.71%:6月29日消息,據L2BEAT數據,過去一周主流Layer2網絡中僅zkSync Era TVL實現增長,其TVL為6.58億美元,增幅為12.71%。TVL排名前二Layer2為Arbitrum One和OP Mainnet,其TVL降幅分別為2.21%和9.36%。[2023/6/29 22:08:21]
攻擊合約:0xf508c58ce37ce40a40997c715075172691f92e2d
tx:0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c
新火科技:與“ADC公鏈”無任何業務或股權關系:據官方消息,近日,有用戶和投資者注意到市場上一家名為“ADC公鏈”的項目以“新火科技最新推出公鏈”為名做市場宣傳,新火科技控股有限公司(簡稱“新火科技“,股票代碼:1611.HK)特此澄清,與“ADC公鏈”無任何業務或股權上的關系,在此提醒廣大用戶和投資者切勿輕信謠言,同時公司將采取法律手段對惡意侵權行為進行處理和應對。
新火科技致力于引領數字資產合規化發展,通過Web3.0的技術為社會創造包容性價值。公司當前的業務涵蓋:MPC自托管平臺、虛擬資產管理、Staking技術服務、虛擬資產托管、場外大宗交易、場外質押借貸、軟件即服務(SaaS)等。[2023/6/15 21:38:26]
漏洞分析
比特幣全網未確認交易數量為5794筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為5794筆,全網算力為268.74EH/s,24小時交易速率為3.56交易/s,目前全網難度為37.59T,預測下次難度上調0.3%至37.7 T,距離調整還剩5天4小時。[2023/1/25 11:29:05]
與大部分預言機事件一樣,項目方由于在預言機實現過程中過度依賴某一池子內的價格進行定價。導致攻擊者可操控該分布式池子的代幣比例導致價格控制進而攻擊協議。
本次事件中,攻擊者利用了項目方如下的價格預言機代碼:
Arbitrum已停用Arbitrum Rinkeby測試網:金色財經報道,以太坊Layer 2擴展解決方案Arbitrum已于北京時間今日3:00起停用Arbitrum Rinkeby測試網,已關閉Rinkeby區塊瀏覽器、公共RPC和排序器,并遷移到Arbitrum Goerli,對于新項目建議在Arbitrum Goerli上部署測試。[2022/12/21 21:57:51]
該喂價函數將Crv3池內BTC/ETH/USDT池內代幣余額作為價格源的一部分,導致在攻擊者在CRV3CRYPTO池子中利用大量BTC換取了USDT后產生了巨大的價格拉升。
攻擊流程
1.攻擊者首先利用閃電貸從AAVE中借來了27000個WBTC,隨后將225個存入了Curve,協議為其鑄造相應的質押憑據;
2.利用crv3crypto存入yvCurve-3Crypto,協議為其鑄造相應憑據anYvCrv3Crypto;
3.利用余下的WBTC來進行兌換,進而控制latestAnswer中獲取的Curve池子中的余額比例。(使用26,775WBTC交換獲得了75403376USDT);
在第三步兌換前預言機latestAnswer返回為979*1e18;
在價格操控后latestAnswer返回為2831*1e18;
4.于是攻擊者得以使用抵押物借出10,133,949個DOLA,而原本225個BTC價值466W美元;
5.然后則是利用USDT換回WBTC、交換DOLA為3Crv;
6.移除3Crv流動性換取穩定幣USDT;
7.交換為BTC并歸還閃電貸。
總結
預言機合約中錯誤的使用了balanceOf導致攻擊者可操控數據源導致被攻擊,這樣的攻擊方式在之前已出現過多次如Definer預言機攻擊事件,項目方在開發過程中不應忽視安全性考量,在上線前建議做好審計工作。
來源:金色財經
Tags:BTCARBBITArbitrumBTC中國官網下載2G Carbon Coinupbit平臺幣arbitrum幣圈名稱
2021年,NFT一度成為繼“元宇宙”之后的又一熱門話題,元宇宙興起時眾說紛紜,相比較之下NFT玩法與定義上顯得更加的簡單,被大眾所接受,所以在數字經濟市場中更為火爆.
1900/1/1 0:00:00LoopCrypto是一個允許組織自動進行經常性支付加密貨幣的新平臺,大大降低了在區塊鏈上處理組織財務運作的復雜性。大多數企業的財務支出中經常性支付占很大的比例,比如租金、賬單以及工資等.
1900/1/1 0:00:00熊市對于投資者來說將會是一段漫長難熬的旅程,但是對于那些致力于持續建設的團隊而言,則是沉下心來打磨產品的最好時間窗口,時間是他們的朋友.
1900/1/1 0:00:001.金色觀察|MulticoinCapital:NFT交易市場社區所有化勢不可擋為什么OpenSea和MagicEden的用戶體驗基本相同?或者,換句話說.
1900/1/1 0:00:00加密貨幣暴跌導致如?Celsuis、三箭資本這樣的機構出現流動性和清算風險。對此,SBF表示,雖然?FTX并沒有受影響,也沒有未償還債務,但?SBF稱?FTX有責任阻止危機蔓延.
1900/1/1 0:00:00前言 小A最近收到了交易所活動的短信,于是小A在瀏覽器輸入“xx錢包官方”,點進排在首位的鏈接,下載App-創建錢包-轉入資產,一氣呵成.
1900/1/1 0:00:00