比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

SWAP:慢霧初步分析得出黑客攻擊Eminence流程_WBNB幣

Author:

Time:1900/1/1 0:00:00

9月29日消息,區塊鏈安全團隊慢霧根據初步分析,得出了黑客攻擊Eminence的流程:1.攻擊者購買了1500w個DAI,換取約1383650487個EMN,并轉移1500w個DAI到EMN合約中。2.拿換取的一半EMN到eAAVE合約中burn掉,換取eAAVE中的通證。eAAVE中調用buy函數時會燃燒EMN合約中的對應代幣,但是合約中的DAI沒有減少。3.把剩余的一半EMN到EMN合約中賣掉,換取1000w個DAI,由于上一步燃燒EMN的時候EMN合約中的DAI的金額沒有減少,所以相同份額的EMN能從合約中取回更多的DAI。4.把eAAVE合約中換取的通證賣掉,取回約600w個EMN。5.繼續把600w個EMN賣掉,換回約660w個DAI。相關合約:EMN:0x5ade7ae8660293f2ebfcefaba91d141d72d221e8Bancor合約:0x16f6664c16bede5d70818654defef11769d40983eAAVE:0xc08f38f43adb64d16fe9f9efcc2949d9eddec198。

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到,門羅幣修復新型假充值攻擊漏洞,問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一,如果使用了這個機制來接收用戶的匿名轉賬,攻擊者可以向隱身地址發起惡意構造的重復轉賬,交易所錢包沒對這些重復轉賬進行正確性校驗的話,就可能會導致“假充值”攻擊發生,從而造成嚴重損失。[2018/9/27]

Tags:SWAPVSWDAIWBNBHiswap TokenValuedefi vSWAPDAIQWBNB幣

歐易交易所app官網下載
NFT:小安論幣:炒幣為何你總是虧損還一直被套?_BITSG價格

你可以失望,但不能絕望,你累了,你可以休息,但是不要后退。迎風而上,不畏艱難。做好自己的事情,不要在乎市場的任何跟風盤,堅定做自己的分析,讓別人去說吧.

1900/1/1 0:00:00
FIL:Filecoin主網上線時間確定 Filecoin主網上線后FIL幣價格走勢如何_ECO

隨著Filecoin主網上線的臨近,Filecoin熱度在全球范圍內持續增高,FIL期貨價格自從5月下旬以來上漲迅猛,有人說Filecoin主網上線后,FIL幣價將會暴漲.

1900/1/1 0:00:00
GTO:幣安趙長鵬:在區塊鏈世界如何保障資產安全_FDUSD

互聯網的發展,給我們帶來了巨大的便利,但同時也給我們的“資產”安全帶來了很大的威脅。所謂的黑客也許能通過互聯網揭發你很多不為人知的秘密。銀行卡盜刷,微信詐騙,讓很多人陷入恐慌.

1900/1/1 0:00:00
USDT:喜迎中秋&國慶,六重壕禮活動在ZT等你_NIF

一晃眼九月份又走到盡頭啦 那么這就意味著 2020年最后的法定節假日—“中秋&國慶”正馬不停蹄地趕來迎接可愛的你們啦~在這個舉國歡慶的中秋&國慶雙佳節.

1900/1/1 0:00:00
NFT:DeFi之后下一個牛市的爆發點?_DEFI

可能由于近期幣價下跌、挖礦收益遠不如之前,再加之挖礦門檻較高,社群里關于挖礦的聲音逐漸變小。而MEME這款代幣在一周內暴漲15倍,一舉超過Uniswap,成為本年度最貴的空投項目,也順勢帶動了N.

1900/1/1 0:00:00
區塊鏈:OKEx投研 | 區塊鏈賦能醫療產業報告_KEN

作者:OKEx分析師張秀秀 前言: 整體上,醫療產業可以分為醫療服務和醫藥商業兩大類,其行業痛點主要在于醫療服務方面的數據未能被充分利用,以及醫藥商業中醫藥產品的防偽溯源難題.

1900/1/1 0:00:00
ads