比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BTC > Info

慢霧:DEUS Finance 因使用了不安全的預言機計算 LP 價格被黑_CHA

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,DEUSFinanceDAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高?getOnChainPrice函數獲取的LP價格。4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。

慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:

1)從 Multichain: Old BSC Bridge 轉出的 USDT;

2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;

3)從 Anyswap: Bridge Fantom 轉出的 BIFI;

4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;

5)從 MultiChain: Doge Bridge 轉出的 USDC;

6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;

7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,建議可以參考AlphaFinance關于獲取公平LP價格的方法。

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

Tags:USDAINCHAHAIEarnBUSDHealth care chainblockchain.infocumuluschain

BTC
NFT 時裝:粉絲,文化和新消費_WEB

作者:NFTGo 近幾年,時裝產業緊隨時代的潮流,踏入了數字時代。隨著人口結構的變化,主力消費人群也正慢慢過渡到Z世代.

1900/1/1 0:00:00
「社區可組合性」能否幫助 Web2 用戶躍入 Web3?_NFT

作者:JennyWang,MichaelChiang,a16zWeb3已經滲透到主流文化中,從帕麗斯·希爾頓在《今夜秀》上展示她的NFT到ConstitutionDAO試圖購買僅存的美國憲法副本.

1900/1/1 0:00:00
Terra 生態協議 Reactor 將于4月28日開啟Token空投_INTER

鏈捕手消息,Terra生態Booster協議Reactor將于4月28日22:00開啟Token空投.

1900/1/1 0:00:00
服務型 DAO 生態、挑戰及解決方案一覽_ARBI

作者:TerryChung,1kxnetwork?編譯:Yangz,DeFi之道傳統公司向咨詢公司尋求建議,而協議和DAO往往有完全不同的需求、運行機制和文化.

1900/1/1 0:00:00
UNXD:NFT與奢侈品的碰撞_NFT

來源:Crescent,律動BlockBeats2021年被稱為「NFT元年」。在這一年中不斷的有NFT售出天價,刷新人們的認知,讓人恍然覺得原來「圖片」還能這么賣錢.

1900/1/1 0:00:00
擁抱MachineFi:去中心化機器金融的未來_CHI

作者:RayXiao,IOSGVentures擁抱MachineFi:去中心化機器金融的未來是新瓶裝老酒還是一代新人換舊人?最近筆者的一個圈外朋友說自己原來從不運動的老婆這一個月天天準時到樓下跑.

1900/1/1 0:00:00
ads