比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

CER:CertiK:預言機被黑客任意利用的日子什么時候是個頭?Rikkei Finance被攻擊事件分析_BNB

Author:

Time:1900/1/1 0:00:00

北京時間2022年4月15日11點18分,CertiK審計團隊監測到Rikkei Finance被攻擊,導致約合701萬元人民幣(2,671 BNB)資產遭受損失。

由于缺乏對函數`setOracleData`的訪問控制,攻擊者將預言機修改為惡意合約,并獲取了從合約中提取USDC、BTCB、DAI、USDT、BUSD和BNB的權限。攻擊者隨后將這些代幣全部交易為BNB,并通過tornado.cash將這些BNB轉移一空。

①攻擊者向rBNB合約發送了0.0001個BNB以鑄造4995533044307111個rBNB。

Titano Finance:將部署新合約,已由Certik完成審計:2月20日消息,此前遭受攻擊的抵押協議Titano Finance發推稱,安全公司Certik已經聯系我們,要求團隊部署新合約。Titano團隊已經收到Certik的初步審計報告,確認新合約沒有漏洞,是100%安全的。

此前消息,PeckShieldAlert發推稱,監測到Titano Finance遭到攻擊,黑客已經獲利4828.7 BNB(約合190萬美元)。[2022/2/21 10:04:38]

②攻擊者通過公共函數`setOracleData()`將預言機設置為一個惡意的預言機。

③由于預言機已被替換,預言機輸出的rTokens價格被操縱。

元宇宙足球游戲MetaSoccer融資220萬美元:11月24日消息,MetaSoccer已籌集220萬美元,資金將用于在Metaverse中推出足球比賽和足球俱樂部管理平臺。投資方包括PlayVentures、DefianceCapital、ParafiCapital、DAOMaker、KyrosVentures、MetrixCapital和PeechCapital。MetaSoccer允許用戶組建虛擬足球隊,進行比賽或通過一個賽季管理球隊。玩賺游戲允許用戶通過在平臺上交易球員、贏得比賽和獲得贊助來獲得MSU代幣。(cointelegraph)[2021/11/24 7:08:29]

④攻擊者用被操縱的價格借到了346,199USDC。

CertiK以近10億美元估值完成8000萬美元B2輪融資,紅杉資本領投:12月1日消息,區塊鏈安全公司CertiK于2021年11月30日宣布完成8000萬美元的B2輪融資,再次刷新區塊鏈安全賽道單筆最大融資額。該輪融資由紅杉資本領投,Tiger Global、高瓴創投、Coatue Management、順為資本等老股東持續跟投。CertiK在四個月內共完成三輪融資,總融資額超過1.4億美元,估值近10億美元。在過去一年中,CertiK完成了20倍的收入增長,員工人數增加了4倍。此外,CertiK為超過1800家企業級客戶提供區塊鏈安全服務,挖掘了超過31000個代碼漏洞、保護了超過3000億美元的數字資產安全。[2021/12/1 12:42:55]

⑤攻擊者將步驟4中獲得的USDC換成BNB,并將BNB發送到攻擊合約中。

Lancer Capital 宣布投資 AI NFT平臺 Uniarts:據官方消息,Lancer Capital 宣布投資 AI NFT平臺 Uniarts。

據悉,Uniarts與人工智能的專家學者和行業專家合作,將AI藝術創作和機器學習可視化的成果轉化為NFT。 此外還將人工智能的個性人格和交互反應映射到Uniarts. NFT的Live2D或3D模型中,形成無以倫比的NFT區塊鏈智能。

同時,Uniarts為實體企業和藝術家提供NFT SDK工具,結合頂級IP運營資源 覆蓋(電影游戲藝術等領域),實現鏈下實體卡零售,鏈上NFT雙向同步發行。

除投資外,Lancer Capital也將會全力支持Uniarts在NFT產業的發展,助力更多IP的整合與整體對于NFT實踐的創業以及更好的與傳統版權IP相結合,服務于市場用戶,擴大NFT產品影響力。[2021/4/9 20:02:21]

⑥攻擊者重復步驟4和5,耗盡BTCB、DAI、USDT和BUSD。

⑦攻擊者使用函數`setOracleData()`再次改變預言機,還原了該預言機的狀態。

Simple Price預言機 : 

https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code

Cointroller: https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code

資產地址:  Rtoken 0x157822ac5fa0efe98daa4b0a55450f4a182c10ca

新的(有問題的)預言機: 

0xa36f6f78b2170a29359c74cefcb8751e452116f9

原始價格: 416247538680000000000

更新后的價格: 416881147930000000000000000000000

Rikket Finance 是利用Cointroller中的SimplePrice預言機來計算價格的。然而,函數`setOracleData()`沒有權限控制,也就是說它可以被任何用戶調用。攻擊者使用自己的(惡意的)預言機來替換原有的預言機,并將rToken的價格從416247538680000000000提升到4168811479300000000000000。

攻擊者在兩次交易中獲得了2671枚BNB(價值約701萬人民幣)。攻擊者已使用tornado.cash將所有的代幣進行了轉移。

漏洞交易:

● https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44

● https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492

相關地址:

● 攻擊者地址:

0x803e0930357ba577dc414b552402f71656c093ab

● 攻擊者合約:

0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209

0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

● 惡意預言機:

https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f

https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9

●被攻擊預言機地址:

該次事件可通過安全審計發現相關風險。CertiK的技術團隊在此提醒大家,限制函數的訪問權限是不可忽略的一步。

Tags:CERITAERTBNBDSOCCERTITANIA幣supertxtokenbnb可以攻略幾個女主

幣安app官方下載最新版
區塊鏈:晚間必讀5篇 | Tornado Cash 黑客的天堂?_NFTI幣

1.金色觀察|Layer1擴容:分片和可組合性以太坊和其他公鏈,都在嘗試利用多鏈結構擴容,例如以太坊2.0可能實現的同構分片、波卡正在實施的異構分片、COSMOS的跨鏈結構.

1900/1/1 0:00:00
以太坊:以太坊基金會財報全文:儲備金規模 16 億美元 2021年共支出 4800 萬美元_DEVE

近日,以太坊基金會公布了截至 2022 年第一季度的財務和運營報告,全文梳理如下: 以太坊基金會是什么? 以太坊基金會(簡稱 EF )是一個支持以太坊生態系統的非盈利性組織.

1900/1/1 0:00:00
比特幣:下一個比特幣 叫奇特幣_比特幣行情圖表怎么看

2022年4月,比特幣迎來重要時間節點。伴隨第1900萬枚比特幣的問世,比特幣再次成為人們討論的焦點。萬億市值、避險首選、單枚超26萬元的高價,光環加冕的背后,是全球投資人對比特幣的偏愛.

1900/1/1 0:00:00
NFT:藍籌NFT項目是什么?一文教會你如何慧眼識珠_Crypviser

由于NFT領域具有“新生”屬性,目前還很難為許多項目授予“藍籌”地位。許多NFT項目四處宣傳,聲稱自己屬于藍籌項目,但它們是嗎?NFT市場上目前已有多個藍籌項目,比如我們熟知的無聊猿游艇俱樂部(.

1900/1/1 0:00:00
IBC:金色觀察|跨鏈通信的危險、現在和未來:Layer Zero之后怎么走_DAPchain

本文為The Anti-Ape在substack發表的文章“What's wrong with bridges?Perils.

1900/1/1 0:00:00
元宇宙:在元宇宙追光的女科學家_Meta Apes

黃玲玲在激光測量室做實驗。本報記者 肖婕妤春日午后,晴空萬里。北京理工大學校園里,粉色海棠正開得燦爛。穿過中心花園,在教學樓,記者見到了追光的科學家——黃玲玲.

1900/1/1 0:00:00
ads