北京時間?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平臺Platypus?Finance遭遇閃電貸攻擊,被盜走約900?萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約?900?萬美元。
攻擊步驟
三次攻擊,我們將選擇金額最大的用來解析流程:
1.攻擊者將閃電貸獲得的?4400?萬?USDC?存入?PlatypusUSDC?池,并獲得?4400?萬LP-USDC。
2.攻擊者將這?4400?萬?LP-USDC?存入?MasterPlatypusV?4?。
報告:到目前為止,朝鮮黑客已竊取高達10億美元的加密貨幣:4月7日消息,根據美國國家安全委員會的一份2022年年度報告,朝鮮黑客竊取的虛擬資產從6.3億美元到10億多美元不等,這一數字是2021年被盜金額的兩倍。該小組在報告中指出:“朝鮮利用日益復雜的網絡技術進入涉及網絡金融的數字網絡,并竊取有潛在價值的信息,包括其武器計劃。”
雖然加密黑客有時可以被追蹤,這取決于黑客是否留下犯罪蹤跡,但根據該報告,基本的加密貨幣和區塊鏈特性使追蹤變得更加困難。該報告補充說:“非法獲得的虛擬資產受到區塊鏈的匿名性和通過加密貨幣交易所混淆資產通道的保護。”
報告最后還鼓勵成員國遵守FATF的指導方針,以遏制被盜加密貨幣資金不斷增長。(Bitcoinist)[2023/4/8 13:50:56]
3.該平臺的借貸限額被設置為?95%?,這意味著攻擊者最多可以用他們的?4400?萬?LP-USDC?借到大約?4180?萬?USP。
網絡安全公司:朝鮮黑客組織Lazarus與新的加密貨幣黑客計劃有關:金色財經報道,網絡安全公司Volexity認為受到美國政府制裁的朝鮮黑客組織Lazarus與涉及使用加密站點感染系統以從第三方竊取信息和加密貨幣有關。Volexity博客文章顯示,Lazarus在6月注冊了一個名為bloxholder.com的域名,該域名后來被建立為提供自動加密貨幣交易服務的企業。Lazarus使用該站點作為網頁從用戶的系統中竊取私鑰和其他數據。
Volexity還發現,將此惡意軟件傳送給最終用戶的技術在10月份發生了變化。該方法演變為使用Office文檔,特別是包含宏的電子表格,這是一種嵌入文檔中的程序,旨在在計算機中安裝Applejeus惡意軟件。
金色財經此前報道,Lazarus 于2021 年 2 月被美國司法部 (DOJ)正式起訴,涉及與朝鮮情報組織偵察總局 (RGB) 有關聯的組織的一名特工。[2022/12/6 21:25:00]
4.攻擊者在?PlatypusTreasure?合約中調用了borrow來鑄造大約?4180?萬?USP。
動態 | 數字貨幣項目SpankChain遭到黑客攻擊 近4萬美元ETH被盜:據Coindesk消息,數字貨幣項目SpankChain稱周六下午18:00左右損失了165.38 ETH(當時價值約3.8萬美元)。另有價值4000美元的BOOTY幣遭凍結。此次攻擊或是通過智能合約漏洞進行。該攻擊者創建了一個偽裝成ERC20令牌的惡意合約,其中”轉移“功能多次重新調用支付渠道合同,每次耗盡一些ETH。[2018/10/9]
5.由于借來的?USP?數額沒有超過限額,協議的isSolvent值將總是返回?true。
6.由于isSolvent變量為?true,攻擊者可以調用EmergencyWithdraw來提取其質押的?4400?萬?LP-USDC?全部資金。
7.攻擊者在支付了移除流動性的手續費用后,總共提取了?43,?999,?999,?921,?036USDC。
8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約?850?萬美元。
2,?425,?762USDC
1,?946,?900USDC.e?
1,?552,?550USDT
1,?217,?581USDT.e
687,?369BUSD
691,?984DAI.e?
在撰寫本文時,共大約?900?萬美元被盜。其中攻擊者部署的合約中仍有價值?850?萬美元的資產;171,?000?美元在攻擊者的地址;399,?400?美元在一個?Aave?池。
漏洞分析
造成該事件的漏洞在于?MasterPlatypusV?4?合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。
函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。
如果用戶的債務額不超過用戶抵押物的?95%?的借款限額,那么solvent的值將為?true。
然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。
通過安全審計,可以發現該設計缺陷問題。
本次事件的預警已于第一時間在?CertiK?官方推特進行了播報。歡迎大家隨時關注?CertiK?官方推特,獲取更多與漏洞、黑客襲擊以及?RugPull?相關的社群預警信息。
尊敬的XT.COM用戶:XT.COM即將上線FIST,並在創新區開放FIST/USDT交易對。 詳情如下: 充值時間:2023年02月17日06:00交易時間:2023年02月17日07:00提.
1900/1/1 0:00:00尊敬的XT.COM用戶:因ATOM錢包升級維護,XT.COM現已暫停ATOM鏈上代幣充提業務。給您帶來的不便,請您諒解!XTZ突破5.5美元關口 日內漲幅為2.68%:火幣全球站數據顯示,XTZ.
1900/1/1 0:00:00金色財經報道,一名聯邦法官批準了實際上已解散的加密貨幣挖礦服務公司ComputeNorth的最終重組計劃,該公司是北美最大的公司之一,使該公司有望成為昔日的影子.
1900/1/1 0:00:00一、項目簡介? AccessProtocol為數字媒體出版物和內容創作者提供了一種通過其作品獲利的新方式.
1900/1/1 0:00:00尊敬的用戶:TerraClassic網絡節點升級已完成,Hotcoin現已恢復LUNC、USTC、ANC的充值、提現業務.
1900/1/1 0:00:00根據FEG(FEG)官方公告,FEG(FEG)將按照1,000,000:1兌換為FEG(FEG)新合約代幣。Gate.io將支持此次合約兌換,并為用戶提供代幣兌換服務.
1900/1/1 0:00:00