比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

SDT:貍貓換太子?慢霧拆解DODO被黑細節_FRES

Author:

Time:1900/1/1 0:00:00

據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析

數據:價值約440萬美元的ID代幣將在本周解鎖:6月19日消息,Token Unlocks數據顯示,本周有4個加密項目將進行代幣解鎖,總計釋放價值約482萬美元。

1inch (1INCH)將于6月20日16時解鎖15,000枚代幣,價值約4139美元,占總供應量的0.001%。

Euler(EUL)將于6月22日02:39:19解鎖147,848枚代幣,價值約23萬美元,占總供應量的0.544%。

SPACE ID (ID)將于6月22日8時解鎖15,152,777枚代幣,價值約440萬美元,占總供應量的0.758%。

Acala (ACA)將于6月25日8時解鎖4,657,534枚代幣,價值約18萬美元,占總供應量的0.466%。[2023/6/19 21:46:21]

通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。

兩個鯨魚總投票權占Sushi DAO支持轉移交易費用計劃的91%:金色財經報道,兩個鯨魚有效地決定了Sushi DAO投票,將SushiSwap去中心化交易所產生的所有費用直接轉移到協議的國庫。

此舉意味著Sushi代幣持有者將在一年左右的時間內不再從交易所的交易費用中獲得獎勵。這兩個鯨魚是風險投資機構Golden Tree的數字投資部門GoldenChain,以及與加密交易公司Cumberland密切相關的錢包。根據Snapshot投票頁面的數據,他們總共貢獻了1000萬個sushipowah令牌(Sushi DAO治理令牌)來推動投票。他們的總投票權占支持該計劃的1100萬個代幣的91%。(the block)[2022/12/20 21:55:01]

Binance推出以太坊工作量證明礦池后ETHW短時突破12美元:金色財經報道,Binance宣布推出以太坊工作量證明礦池且10月29日前不會收取費用后,ETHW出現短時上漲并觸及12.72美元,本文撰寫時下挫至11.89美元,24小時漲幅8.8%。據相關信息披露,由于主要礦池已宣布支持ETHW,包括Coinbase在內的一些大型交易平臺也表示不排除上線ETHW,但Binance指出,在Binance礦池上支持ETHW并不保證在交易平臺上線ETHW。(decrypt)[2022/9/30 22:41:41]

為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:

Volt Protocol完成Compound Labs v2.0經濟和技術審查:9月2日消息,據官方推特稱,Volt Protocol和外部審計人員完成了Compound Labs v2.0的經濟和技術審查。并表示,確定貸款池共有風險,以及Compound v2的特定風險,此外報告還介紹了其中的緩解措施以及計劃中的或現有的緩解措施。[2022/9/2 13:04:08]

通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。

到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:

通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程

1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結

本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e

Tags:SDTUSDTUSDRESusdt幣app下載globalusdtokenSFUSD價格FRES

比特幣價格今日行情
PAR:Paradigm:如何提升適應力并平穩的度過加密貨幣「牛熊」周期?_coinbase

編者按:本文來自區塊律動BlockBeats,編譯:0x26,Odaily星球日報經授權轉載。在2021年前兩個月,很多加密貨幣的價格已經翻了一番,并繼續創下歷史新高.

1900/1/1 0:00:00
EOS:BM追夢再下一站_Monsters Clan

就在加密市場牛市正酣之時,作為站在區塊鏈世界最高處的拓荒者之一,原EOS聯合創始人BM又開啟了新征程。3月2日,BM發布了其新項目ClarionOS的介紹,并在Github上更新了新項目代碼.

1900/1/1 0:00:00
NFT:Asymm Ventures:我們為什么投資My Neighbor Alice_Stella Fantasy

在《跨越鴻溝》一書中,杰弗里·摩爾描述了一項顛覆性技術被采用的全過程,并指出早期采用者和早期大眾之間存在著不可逾越的鴻溝。誠然,不同市場的用戶對產品有著截然不同的期望.

1900/1/1 0:00:00
GAS:分析了FIP-10的關鍵數據,我發現了......_OST

編者按:本文來自IPFS原力區,作者:Tony,星球日報經授權發布。北京時間3月4日上午包含FIP-10的Lotus1.5.0版本正式上線,那么Filecoin網絡到底產生了哪些影響呢?通過數據.

1900/1/1 0:00:00
OPEN:聚合器的終點在哪?即將發幣的OpenOcean給出答案_ENO

聚合器已成為DeFi樂高之內不可或缺的一大板塊。與借貸、去中心化交易等場景清晰的基礎業務不同,“聚合器”這一概念乍聽起來稍顯硬核,市場也未就此類項目給出足夠清晰、垂直的劃分.

1900/1/1 0:00:00
NEW:NewBloc:就當下全球經濟形勢討論比特幣的短期投資_Advanced United Continent

本文作者為NewBloc策略分析師Barry,5年外匯黃金市場交易經歷。據俄羅斯衛星通訊社3月7日報道,俄軍密集發射圓點導彈,摧毀美石油交易市場.

1900/1/1 0:00:00
ads