8月8日消息,據慢霧區消息,BSC上的EGD_Finance項目遭受黑客攻擊,導致其池子中資金被非預期的取出。慢霧安全團隊進行的分析如下:1.由于EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。
安全團隊:FTX交易所遭到gas竊取攻擊事件技術分析:10月13日消息,據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。Beosin安全團隊第一時間對事件進行了分析,結果如下:
1.以其中一筆攻擊交易為例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)
2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。
3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。
4. 1-3中的步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。
截止發文時,通過Beosin Trace追蹤發現,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。[2022/10/13 14:26:15]
安全團隊:Ronin攻擊者近24小時將4100枚ETH轉移至Tornado Cash:4月29日消息,據CertiK安全團隊監測,Ronin Network攻擊者于近24小時內已將另外4100枚ETH(價值約1190萬美元)轉移至Tornado Cash中。
攻擊者錢包地址:0xDD6458eB5090832eB88BFfc7AdF39B0F3CdD6683。[2022/4/29 2:39:29]
安全團隊:Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制:4月25日消息,Cobo區塊鏈安全團隊就Flurry Finance攻擊事件進行了分析,發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同,而是利用了Flurry Finance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據(Bank中的token數量)。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱,進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用Rabbit Finance的StrategyLiquidate合約來執行任意代碼的技巧,但這個技巧涉及到的合約代碼本身其實并不存在安全問題。Cobo區塊鏈安全團隊提醒,開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。
此前消息,2月22日,BSC鏈上的Flurry Finance遭到閃電貸攻擊,導致協議中Vault合約中價值數十萬美元的資產被盜。[2022/4/25 14:46:47]
Tags:ANCFINNCENANPig FinanceInfinity BoxASI financeDixt Finance
尊敬的XT.COM用戶:因PHAE錢包升級維護,XT.COM現已暫停PHAE提現業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00漫談WEB2.5 什么是WEB2.5? 舉個簡單例子,如果說DEX是WEB3,那么CEX就是WEB2.5.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbeopeningTAO(Fusotao)?spottrading(TAO/USDT)andspotGridtrading(TAO/.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM作為致力於為全球優質的數字資產提供優質服務的交易平臺。平臺會定期對已上線的幣種進行綜合性審核,以確保平臺幣種的高水準交易.
1900/1/1 0:00:00由于TEDDY代幣的安全漏洞引發的不可逆的代幣經濟改變,造成代幣增發導致幣種價格下跌。在該事件處理進展中我們獲知某些地址持有大量的增發代幣,由于這些地址不可控,為了避免用戶資金受損,因此Gate.
1900/1/1 0:00:002022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%.
1900/1/1 0:00:00