比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Pol幣 > Info

黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元-ODAILY_TYP

Author:

Time:1900/1/1 0:00:00

北京時間2023年2月16日凌晨,Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊,被盜走約900萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約900萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池,并獲得4400萬LP-USDC。

美國政府要求EtherDelta黑客事件受害者提供信息:金色財經報道,美國總檢察長和特勤局已經要求2017年EtherDelta黑客事件的受害者提供信息。據悉,美國加利福尼亞州北區檢察官辦公室在2019年8月就黑客攻擊事件起訴了Elliot Gunton和Anthony Tyler Nashatka。兩人涉嫌修改了EtherDelta交易所的域名系統,以將用戶重定向到類似于真實平臺的假網站。[2021/5/22 22:30:55]

2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。

美國醫療保健官員:采用區塊鏈可提供數據安全性以抵御黑客:9月6日,美國醫療保健行業對區塊鏈技術表現出極大的興趣,尤其是在最近研制COVID-19疫苗的醫療研究機構受到網絡攻擊之后。據報道,醫療保健官員認為,采用區塊鏈技術可以提供抵御網絡犯罪分子和黑客的數據安全性,因為它不包含一個中心故障點。用戶只能使用非常復雜的訪問密鑰訪問數據,從而使勒索軟件和類似攻擊無效。(Cointelegraph)[2020/9/6]

3.該平臺的借貸限額被設置為95%,這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。

動態 | 韓國網絡安全組織稱韓國加密貨幣交易所受朝鮮黑客攻擊:據cryptonews消息,韓國首爾的網絡安全組織IssueMakersLab稱,朝鮮黑客在6月對一家不知名的韓國加密貨幣交易所發起過五次攻擊。黑客還試圖通過冒充韓國金融監管機構的代表來欺騙交易所員工。IssueMakersLab表示,朝鮮黑客對韓國加密貨幣交易所的攻擊次數在一段時間內有所減少,但現在攻擊頻率再次上升。[2018/8/10]

4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。

5.由于借來的USP數額沒有超過限額,協議的isSolvent值將總是返回true。

6.由于isSolvent變量為true,攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了43,999,999,921,036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約850萬美元。

2,425,762USDC

1,946,900USDC.e

1,552,550USDT

1,217,581USDT.e

687,369BUSD

691,984DAI.e

在撰寫本文時,共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產;171,000美元在攻擊者的地址;399,400美元在一個Aave池。

漏洞分析

造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的95%的借款限額,那么solvent的值將為true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特,獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。

Tags:USDUSDCSDCTYPusdt幣交易違法嗎3日凍結會解除么usdc幣市值減少sdcoin幣交易所TYP價格

Pol幣
Bitget研究院:FOMC加息會議放出鷹派言論,市場回調靜待ARB上線-ODAILY_ARB

過去24小時,市場出現了不少新的熱門幣種和話題,或許它們就是下一個市場焦點。 1.熱門項目 IC:狐貍圖片的MemeCoin,鏈上流動性$57萬,24小時交易量$461萬,市值$400萬,活躍度.

1900/1/1 0:00:00
LD Capital:美股指數收益增強策略視角的Crypto資產管理-ODAILY_ETF

作者:YilanLiu,JinzeJiang,DrakeZhang,LDCapitalResearch 引言 傳統金融市場近幾年來以ETF為代表的指數型產品發展迅速.

1900/1/1 0:00:00
Foresight Ventures市場周報:場內資金不足,Meme擊鼓傳花-ODAILY_RES

A.市場觀點 一、宏觀流動性 貨幣流動性改善。5月美聯儲如期再加息25個基點,暗示此后暫停行動,預計將是本周期最后一輪加息。但鮑威爾同時表示降低通脹還有很長的路要走,現在降息不合適.

1900/1/1 0:00:00
波場TRON進展周報(2023.01.20-2023.01.26 )-ODAILY_DAO

過去的一周,波場TRON項目進展順利,為滿足波場TRON全球社區愛好者閱讀,本周周報共分為13種語言,請您選擇閱讀.

1900/1/1 0:00:00
解析Web3社區與用戶的價值邏輯與生存法則-ODAILY_WEB

我們已經感受到香港Web3的敘事正在OnchainRealWorldAssets,這或許是中國香港在途徑加密經濟前往下一個數字文明時代最為正確也切實可行的路徑.

1900/1/1 0:00:00
個人如何從Qredo治理中受益-ODAILY_Qredo

Qredo首先是為機構設計的。但它提供的治理工具對個人也非常有用。您的Qredo錢包的自定義簽名方案和子賬戶可用于一切,從保護您的遺產到保護您的資產免受基本攻擊.

1900/1/1 0:00:00
ads