比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 瑞波幣 > Info

USD:黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元-ODAILY_ETH

Author:

Time:1900/1/1 0:00:00

北京時間2023年2月16日凌晨,Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊,被盜走約900萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約900萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池,并獲得4400萬LP-USDC。

PeckShield征求建議以確定如何發出黑客攻擊警報,大多數用戶支持其標記受影響的協議和交易:8月10日消息,PeckShield稱其檢測到黑客攻擊時發布警報可能會引起人們對黑客的關注并暴露受影響的協議,因此可能會引起爭議,發布投票向社區征求建議,以確定檢測到黑客攻擊時應如何發出警報。當前投票已結束,66.8%的用戶選擇“標記受影響的協議+tx”、18.4%的用戶選擇“Alert TG seal 911 bot”、9.9%的用戶選擇“公開黑客+tx”、4.9%的用戶選擇“僅Xeet匿名黑客”。[2023/8/10 16:18:10]

2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。

派盾:攻擊Deus Finance黑客已將約1,100枚ETH和20萬枚DAI轉入Tornado Cash:3月15日消息,派盾(PeckShield)在社交媒體上發布相關交易記錄表示,攻擊DeusFinance黑客已將約1,100枚ETH和20萬枚DAI轉入以太坊隱私交易平臺TornadoCash。此前報道,派盾在社交媒體上提醒,多鏈衍生品協議DeusFinance被監控到在Fantom網絡上被黑客攻擊,黑客共計盜走20萬枚DAI和1,101.8枚ETH,總價值約300萬美元。[2022/3/15 13:58:08]

3.該平臺的借貸限額被設置為95%,這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。

動態 | 美國當局起訴兩名黑客 涉嫌攻擊去中心化交易所EtherDelta:據TheBlock消息,美國加州北區檢察官辦公室近日指控Elliot Gunton和Anthony Tyler Nashatka涉嫌在2017年12月入侵建立在以太坊區塊鏈上的去中心化交易所 EtherDelta(以德)。根據起訴書,這兩名黑客修改了EtherDelta的域名系統設置,以欺騙交易所的用戶,獲取他們的加密貨幣地址、私鑰,并從這些加密貨幣地址中提取資金。根據起訴書,這兩名黑客從EtherDelta的一名用戶那里竊取了至少80萬美元的加密貨幣。法庭文件沒有提供黑客竊取的總金額的細節。[2019/9/22]

4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。

5.由于借來的USP數額沒有超過限額,協議的isSolvent值將總是返回true。

6.由于isSolvent變量為true,攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了43,999,999,921,036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約850萬美元。

2,425,762USDC

1,946,900USDC.e

1,552,550USDT

1,217,581USDT.e

687,369BUSD

691,984DAI.e

在撰寫本文時,共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產;171,000美元在攻擊者的地址;399,400美元在一個Aave池。

漏洞分析

造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的95%的借款限額,那么solvent的值將為true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特,獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。

Tags:USDUSDCSDCETHPegsUSDusdc幣與usdt幣哪個好usdc幣是什么意思IETHV幣

瑞波幣
以太坊:VaaS是什么技術,為什么它能實現以太坊的非托管質押?-ODAILY_ETH

美國證券交易委員會最近宣布了對加密貨幣交易所Kraken的指控,聲稱其提供的質押服務相當于是在美國提供未注冊的證券產品。Kraken已同意支付3000萬美元并關閉其所有美國質押服務.

1900/1/1 0:00:00
ETH:ETH Staking的崛起或將推動DeFi復興-ODAILY_DEFI

智能合約調用次數回升 經歷了2022年寒冬之后,ETH目前價格雖然有所回升,但仍然比牛市高位4800美元下跌了65%以上。盡管如此,以太坊區塊鏈上的智能合約活動仍相對健康.

1900/1/1 0:00:00
SIG:SignalPlus每日晨報(20230403)-ODAILY_IGN

各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.

1900/1/1 0:00:00
WEB:傳統品牌如何進軍Web3-ODAILY_coinbasepro下載

每個NFT之間無論是價值還是屬性都各不相同,每個NFT都有屬于自己的哈希值,每個NFT都是獨一無二的。因此,NFT可以很有效的和實物相對應,越來越多的人認識到NFT的價值所在.

1900/1/1 0:00:00
區塊鏈:4月錢都去哪兒了?原來近半數選擇融資區塊鏈_alpine幣介紹

據證券時報近日消息,4月國內共發生26例融資,融資金額達192.7億元。從融資類型來看,國內主要分布于區塊鏈、借貸和外圍服務行業.

1900/1/1 0:00:00
BIT:Bitget研究院:聚焦鏈上數據,每周要聞盤點-ODAILY_sui幣未來價值

周期:03/20-03/241.市場焦點MarketTrends本周(3.20-3.24)市場最關注的焦點話題為:Arbitrum空投激發用戶交互L2熱情.

1900/1/1 0:00:00
ads