比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

NFT:Hundred與Agave閃電貸攻擊事件分析_HUNGRY幣

Author:

Time:1900/1/1 0:00:00

1.前言

北京時間3月15日晚,知道創宇區塊鏈安全實驗室監測到Gnosis鏈上的借貸類協議HundredFinance與Agave均遭遇了閃電貸襲擊,包括AAVE的分支Agave和Compound的分支HundredFinance。協議損失超1100萬美元。目前項目方已暫停其數百個市場。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

金融被攻擊tx:

0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

攻擊合約:0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd

NFT主題餐廳Bored & Hungry將在菲律賓區塊鏈周期間開設快閃店:11月28日消息,NFT主題餐廳Bored and Hungry將在菲律賓區塊鏈周期間開設快閃店,僅開放三天,即11月29日至12月1日。這將是Bored and Hungry首次在東南亞國家開設快閃店。(CoinGeek)

據此前報道,首家Bored Ape Yacht Club(BAYC)NFT主題餐廳Bored & Hungry已經于當地時間4月9日在美國加州長灘正式開業。據悉,Bored & Hungry餐廳將以快閃店的形式開放90天。該餐廳接受ApeCoin(APE)、ETH以及借記卡/信用卡支付方式。Bored & Hungry在開業三個月后,不再接受加密貨幣付款,餐品只顯示美元價格。[2022/11/28 21:06:40]

攻擊地址:0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

謝霆鋒旗下鋒味同萌將與Hungry Sausages Lab合作推NFT:3月28日消息,香港電影演員兼歌手謝霆鋒進軍NFT市場。謝霆鋒創立及主理的美食與生活品牌鋒味旗下年輕化子品牌鋒味同萌與總部位于香港的創意工作室 Hungry Sausages Lab 合作,將推出 100 枚 NFT。這些 NFT 將于 4 月 1 日進行白名單預售或意向登記,并在 4 月 4 日公開鑄造,起拍價為 0.15 ETH。

這 100 枚 NFT 將以謝霆鋒廚師動漫角色為特點,也是 Hungry Sausages 系列 5000 枚 NFT 的一部分。鋒味聯合創始人Derek Yeung表示,元宇宙熱潮遍布全球。我們在實體市場拓展業務的同時,也在積極探索通過虛擬世界創造新體驗的新穎方式。[2022/3/28 14:22:33]

攻擊后跨鏈匿名化:https://etherscan.io/txs?a=0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

多鏈NFT游戲Blockchain Monster Hunt將于11月9日開放Beta公測:11月8日消息,多鏈NFT游戲Blockchain Monster Hunt宣布將于北京時間11月9日7:30在測試網開放Beta公測。本次公測旨在測試游戲經濟系統的穩健性,并使早期支持者有機會熟悉主網版本以及后期版本中的一些功能,Blockchain Monster Hunt將采取早期用戶的反饋意見,在主網發布前不斷改進游戲[2021/11/8 6:38:19]

龍舌蘭被攻擊tx:

0xa262141abcf7c127b88b4042aee8bf601f4f3372c9471dbd75cb54e76524f18e

攻擊合約:0xF98169301B06e906AF7f9b719204AA10D1F160d6

攻擊地址:0x0a16a85be44627c10cee75db06b169c7bc76de2c

攻擊后跨鏈匿名化:https://etherscan.io/txs?a=0x0a16a85be44627c10cee75db06b169c7bc76de2c

2.2攻擊流程

由于百金融與龍舌蘭攻擊流程與手法類似,因此我們使用百金融進行分析。

百金融攻擊調用流程

1、攻擊者利用合約在三個池子中利用閃電貸借出WXDAI和USDC

2、在WETH池子質押借出的部分USDC

3、利用重入利用一筆質押,超額借出池子中資金

4、重復質押-重入借出步驟,將其他兩個池子資產超額借出

5、歸還閃電貸

6、獲利轉移

2.3漏洞細節

導致本次問題的根本原因是由于在Gnosis鏈上的官方橋接代幣xDAI合約中實現了一個對于to地址的回調

合約實現地址:

https://blockscout.com/xdai/mainnet/address/0xf8D1677c8a0c961938bf2f9aDc3F3CFDA759A9d9/contracts

該回調將直接導致重入漏洞的產生,同時由于在HundredFinance團隊fork的Compound版本中沒有嚴格遵循檢查-生效-交互,進而導致了總借貸量更新晚于重入實現。最終攻擊者得以超額借貸。

類似的,對于Agave項目方,攻擊者利用liquidateCall函數內部調用會調用xDAI的callAfterTransfer方法進行回調,最終導致攻擊者能再次進行借貸。

在百金融攻擊中攻擊者重入的調用路徑如下:

在Agave攻擊中攻擊者回調路徑如下:

3.總結

此次遭受攻擊的兩個借貸項目由于錯誤的引入了存在重入的token,同時項目方的fork的代碼沒有采用檢查-生效-交互模式導致了問題的發生。

我們強調:對于一個優秀的項目的引用必須建立在足夠的理解和嚴謹的開發上,尤其是存在差異化的部分,切忌顧此失彼最終因為一個小的差錯導致項目全部的損失。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:NFTREDHUNGRYHUNGSNFT價格REDUXHungry BeesHUNGRY幣

歐易交易所app官網下載
加密貨幣:Messari:機構投資者開始推動加密貨幣的進一步增長_BTCBR

原文來源:Messari 原文編譯:DeFi之道 要點: 機構投資者終于開始推動加密貨幣的進一步增長。最近的報告顯示,70-80%的人計劃在短期內進行分配投資組合.

1900/1/1 0:00:00
GATE:Gate.io Copy Trading AMA - Vote on Telegram to Win an Exciting Airdrop Distributed Announcement_MintGate

''Gate.ioCopyTradingAMA-VoteonTelegramtoWinanExcitingAirdrop''activityhascometoasuccessfulend!Acc.

1900/1/1 0:00:00
APE:ApeCoin (APE)_REAPER幣

項目名稱:ApeCoin(APE)項目簡介:ApeCoin(APE)是一個應用于APE生態系的治理及功能性ERC-20通證,用來賦能在此Web3前緣建構的去中心化社群.

1900/1/1 0:00:00
GAT:Gate.io NFT INO項目The Lost Throne正式上線公告_PIXLS Vault (NFTX)

INO合作項目「TheLostThrone」鏈遊NFT已正式上線Gate.ioNFT魔盒,本次發售作品總數1000,單個售價75美金,數量有限,先到先得.

1900/1/1 0:00:00
GAT:Gate.io 非首發上線Startup項目GensoKishi Metaverse(MV)及免費認購規則公告(免費瓜分200,000個MV)_gate.io官網下載

關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
ONSTON:ZT創新板即將上線ONSTON_magicstone

親愛的ZT用戶: ZT創新板即將上線ONSTON,並開啟ONSTON/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月23日18:00; ONSTON ZT周邊競拍將于8.

1900/1/1 0:00:00
ads