USDT:Polygon鏈上LibertiVault合約遭遇攻擊分析_ledger錢包支持usdt么

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Polygon鏈上LibertiVault合約遭遇攻擊，損失約123ETH和56,234USDT價值約29萬美元，以及以太坊鏈上35ETH和96223USDT價值約16萬美元，總共超45萬美元。技術人員分析發現，本次攻擊是由于LibertiVault合約存在重入漏洞所導致。

報告：Polygon為以太坊帶來可擴展性方面的成功表明開發者必須接觸到主流消費者:金色財經報道，Bernstein在周三的一份研究報告中稱，Polygon區塊鏈在為以太坊帶來可擴展性方面的成功表明，開發者必須接觸到主流消費者，而不是僅僅在 \"加密貨幣崇拜 \"中運作。Polygon 擁有約 1.7 億個地址的龐大用戶群，其中約 30 萬個被歸類為活躍地址。它以每天 80,000 個新用戶的速度增長。Polygon的費用也較低，使交易平臺Uniswap和OpenSea等應用程序更容易滿足零售需求。[2022/9/29 6:01:31]

1、攻擊者使用閃電貸借出500萬USDT，調用LibertiVault合約deposit函數進行質押，其質押邏輯會將質押的代幣一部分用于兌換，然后再計算鑄幣數量，鑄幣數量是根據和合約本次存入代幣量與合約存入之前的余額比例來進行計算的。

Polychain Capital與Arca Prop提議調整Anchor協議收益率以保證協議持續性:3月11日，Polychain Capital 與 Arca Prop 針對 Terra 生態固定利率協議 Anchor Protocol 發起提案，提議根據 UST 的存幣數量來設定新的階梯式收益率以保證協議的可持續性發展。

目前該協議的投票率為 70.94%，54.72% 的投票權重表示反對。[2022/3/11 13:51:14]

2、而兌換操作swap會調用黑客的合約，此時黑客第一次重入調用deposit，并在此函數中二次重入，向合約打入250萬USDT。

Polygon鏈P2E游戲Ethlas獲270萬美元種子輪融資，紅杉資本印度等參投:2月15日，基于 Polygon 的 P2E 游戲 Ethlas 宣布完成 270 萬美元種子輪融資，本輪融資由紅杉資本印度、YGG Southeast Asia、Global Blockchain Innovative Capital、Venturra Capital、Play It Forward DAO、Blockchain Space、Genesis Fund、Deus Ex DAO、Hustle Fund 等參投。[2022/2/16 9:55:12]

3、二次重入結束后，合約會按照250萬USDT與之前合約的USDT余額比值為黑客鑄幣，第一次重入的deposit函數運行結束后，黑客又向其中打入了250萬USDT。

4、此時，執行完了外層deposit函數中的兌換操作，合約又會按照250萬USDT與合約USDT余額比值進行鑄幣。

5、問題就出在第四點，按理來說，第二次計算合約余額應該是之前的余額加上第一次打入的250萬余額來作為本次計算的參數，但這里是使用的重入的形式，合約余額在最開始就已經獲取了，所以參數并未改變，還是使用的原來的余額進行計算，導致給黑客鑄了大量的憑證代幣。

6、最后黑客移除憑證代幣，歸還閃電貸獲利。

Beosin

企業專欄

閱讀更多

金色財經

金色薦讀

Block unicorn

金色財經 善歐巴

區塊鏈騎士

Foresight News

深潮TechFlow

Tags：USDTUSDPOLSDTBitVenus里的usdt能用GUSDT幣Huobi Polkadotledger錢包支持usdt么

波場