鏈捕手消息,據慢霧安全團隊情報,2022年7月10號OMNIProtocol遭受閃電貸攻擊。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken。
2.調用borrow函數借出WETH。
慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]
3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現,提款會先通過burn函數去燃燒憑證。
BiKi平臺入駐慢霧區 發布“安全漏洞與威脅情報賞金計劃”:為了進一步保障用戶資產安全,提高平臺安全風控等級,BiKi平臺入駐慢霧區,發布“安全漏洞與威脅情報賞金計劃”,嚴重漏洞最高獎勵$10,000等值BIKI。
BiKi是一家數字資產交易服務和區塊鏈技術提供商,旗下包括幣幣、合約、網格、杠桿、余幣寶、抵押借貸、ETF、流動性挖礦等業務。致力于為用戶提供安全、穩定、高效的服務。
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,提供“威脅發現到威脅防御一體化因地制宜的安全解決方案”,包括:安全審計、威脅情報(BTI)、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢(AML)、假充值漏洞掃描等SAAS型安全產品。[2021/1/18 16:26:21]
而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數,攻擊者利用這點重入了合約的liquidationERC721函數。
慢霧科技與 OK 資本達成戰略合作:慢霧科技與 OK 資本達成戰略合作,為 OK 資本投資的全球優質區塊鏈創業項目提供智能合約安全審計服務,避免項目出現重大安全問題。此前,慢霧科技也曾對 OK 資本的戰略合作伙伴 OKEx 數字資產交易平臺上的數百個基于以太坊 ERC20 的項目進行過智能合約 batchOverflow 問題的排查,排除安全隱患。[2018/5/25]
4.在liquidationERC721函數中,攻擊者先支付了WETH并接收doodlenft,接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證,同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH,但由于vars變量是在liquidationERC721函數中定義的,因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為。
5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識,假如借款標識為false,則不會判斷用戶的負債,故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利。
此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題,并且在清算函數中使用的是舊的vars的值進行判斷,導致了即使重入后再借款,但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。
原文標題:《TheCaseforSNXtogobacktoATHs》作者:SecretSalsa編譯:0x9F、0x214,律動BlockBeats 介紹 就像任何其他OGDeFi項目一樣.
1900/1/1 0:00:00撰文:BitMEX?Research,《ETHPoWvsETH2》編譯:BlockBeats 摘要 在這篇文章中,我們討論了以太坊合并時分裂出新鏈.
1900/1/1 0:00:00撰寫:CeliaWan,DragonflyCapital編譯:TechFlowintern當人們開始質疑他們在牛市期間所相信的一切時,你就知道這是一個周期的結束.
1900/1/1 0:00:00鏈捕手消息,流動性質押協議LidoFinance社區發起更新后的金庫多元化提案,擬從DAO金庫中出售給DragonflyCapital原先購買量的一半,也即LDO總供應量的1%.
1900/1/1 0:00:00作者:CoboVentures一:為什么我們要關注社交賽道社交平臺掌握著大量用戶流量、畫像和行為數據,蘊含著巨大的商業價值.
1900/1/1 0:00:00作者:鄧建鵬 來源:吳說區塊鏈 金融科技是技術驅動的金融創新,旨在運用現代科技成果改造或創新金融產品、經營模式、業務流程。金融科技領域顛覆性創新與系統性風險并存,給金融監管帶來挑戰.
1900/1/1 0:00:00