比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

ABU:慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元_ORE

Author:

Time:1900/1/1 0:00:00

金色財經報道,慢霧MistTrack對TransitSwap事件資金轉移進行跟進分析,以下將分析結論同步社區:Hacker#1攻擊黑客,獲利金額:約2410萬美元1:0x75F2...FFD462:0xfa71...90fb已歸還超1890萬美元的被盜資金;12,500BNB存款到TornadoCash;約1400萬MOONEY代幣和67,709DAI代幣轉入ShibaSwap:BONEToken合約地址。Hacker#2套利機器人-1,獲利金額:1,166,882.07BUSD0xcfb0...7ac7(BSC)保留在獲利地址中,未進一步轉移。Hacker#3攻擊模仿者-1,獲利金額:356,690.71USDT0x87be...3c4c(BSC)Hacker#4套利機器人-2,獲利金額:246,757.31USDT0x0000...4922(BSC)已全部追回。Hacker#5套利機器人-3,獲利金額:584,801.17USDC0xcc3d...ae7d(BSC)USDC全部轉移至新地址0x8960...8525,后無進一步轉移。Hacker#6攻擊模仿者-2,獲利金額:2,348,967.9USDT0x6e60...c5ea(BSC)Hacker#7套利機器人-4,獲利金額:5,974.52UNI、1,667.36MANA0x6C6B...364e(ETH)通過Uniswap兌換為30.17ETH,其中0.71支付給Flashbots,剩余ETH未進一步轉移。

慢霧:警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報,近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,當前總損失約 431 萬美金。

經過慢霧安全追蹤分析確認,此次攻擊為批量谷歌關鍵詞廣告投放釣魚,用戶在谷歌搜索如:astroport,nexus protocol,anchor protocol 等這些知名的 Terra 項目,谷歌結果頁第一條看似正常的廣告鏈接(顯示的域名甚至是一樣的)實為釣魚網站。 一旦用戶不注意訪問此釣魚網站,點擊連接錢包時,釣魚網站會提醒直接輸入助記詞,一旦用戶輸入并點擊提交,資產將會被攻擊者盜取。

慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接,減少使用常用錢包進行非必要的操作,避免不必要的資損。[2022/4/21 14:37:55]

慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:

1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]

Tags:ABUPORORESPOREABUSD幣por幣前景COREFI價格Spores

以太坊交易
加密貨幣:隨著加密貨幣公司感到壓力,更多知名領dao者下臺_TRA

CEO離職:最近幾周,許多加密貨幣CEO卸任。這促使公司在其他地方或內部尋找新人才。熊市和經濟衰退似乎正在順利進行。自8月以來,至少有六位CEO離職.

1900/1/1 0:00:00
BTC:BTC和ETH雖低迷購買情緒依然旺盛 但CPI預測值并不樂觀_ETH

截止到今天上午10點的BTC持倉價格分布,從昨天中午12點到現在22個小時的BTC鏈上地址變化.

1900/1/1 0:00:00
比特幣:比特幣在市場動蕩中下跌,GBTC 還值得買入嗎?_GBT

比特幣最近一直很艱難。價值已從65,000美元以上跌至20,000美元以下。那么,加密股票市場玩灰度比特幣信托現在是一個不錯的選擇嗎?讓我們檢查GBTC股票以找出答案.

1900/1/1 0:00:00
DEX:熊市中,DEX、借貸、資管和流動性質押,哪種商業模式更佳?_XDEFI

在牛市帶來的流動性激增期間,TVL是投資者衡量協議成功與否及其使用情況的首選指標。如今,流動性正在枯竭,人們的注意力已經轉移到了基本收入和盈利能力指標上。基本面一直很重要.

1900/1/1 0:00:00
ETH:空投首賺6400美元,如何把握機會?_ETHSHIB幣

有玩家問,怎么注冊一個web3域名。我說你可以試試.eth域名,注冊一次你就知道怎么操作了。他回答說現在ENS域名沒有機會了,好域名都注冊了,他要攻擊.bnb的機會。與關注空投的玩家溝通.

1900/1/1 0:00:00
USD:去中心化超抵押穩定幣USDD正式登陸Guarda錢包_WCUSD價格

據最新消息,去中心化超抵押穩定幣USDD正式登陸Guarda錢包。用戶可以在Guarda錢包上安全地存儲、發送、接收和交換USDD.

1900/1/1 0:00:00
ads