比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 世界幣 > Info

慢霧:Harvest.Finance 被黑事件簡析_USD

Author:

Time:1900/1/1 0:00:00

2020年10月26號,據慢霧區消息HarvestFinance項目遭受閃電貸攻擊,損失超過400萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費

2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT

慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]

3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC,此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小

慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用:據慢霧區情報消息,2月14日,BSC鏈上的Titano Finance項目遭受攻擊,損失約190萬美元,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。[2022/2/14 9:51:14]

4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中,充值的同時Harvest的Vault將鑄出fUSDC,而鑄出的數量計算方式如下:

聲音 | 慢霧:Dapp、交易所等攻擊事件造成損失已近41億美金:慢霧數據顯示Dapp、交易所等攻擊事件造成的損失已達4098587697.68美金,半月增加近3億美金。據2月28日報道,慢霧區上線“被黑檔案庫(SlowMist Hacked)”,目前各類攻擊事件共造成約 3824082630.12 美金的損失。[2019/3/13]

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC

5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常

6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC。

7.隨后攻擊者開始重復此過程持續獲利

其他攻擊流程與上訴分析過程類似

參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

總結:此次攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量,從而使攻擊者有利可圖。

Tags:USDESTUSDCNCEDUSD價格EST幣husdc幣Strips Finance

世界幣
金色晚報 | 5月12日晚間重要動態一覽_數字貨幣

12:00-21:00關鍵詞:MetaMask、LG電子、DoKwon、津巴布韋1.歐盟計劃強制加密公司向稅務機關提供其客戶持有資產的詳細信息;2.

1900/1/1 0:00:00
Coinbase Custody考慮為37種數字資產提供托管支持_OIN

據官方博客消息,CoinbaseCustody正在考慮為新的數字資產提供支持,包括Tron、Aave、Amp、Ampleforth、Ankr、ArCoin、Audius、Barnbridge、B.

1900/1/1 0:00:00
安全公司:黑客更新門羅幣惡意挖礦軟件Black-T以竊取用戶密碼等敏感信息_AMV

網絡安全公司Unit42的一份報告稱,黑客們已經更新了Monero長期運行的惡意軟件“Black-T”,以竊取用戶證書,并接管受感染電腦上的任何其他非法挖礦軟件.

1900/1/1 0:00:00
浙江大學蔡亮:我國區塊鏈監管框架已經基本成型_TOP

據新京報貝殼財經10月24日消息,浙江大學區塊鏈研究中心常務副主任蔡亮在接受采訪時表示,以美國為代表的西方國家研究熱點目前主要在公有鏈技術以及基于公有鏈的金融創新.

1900/1/1 0:00:00
SBF:將實行保證金交易 把大部分SUSHI空投保留一年以上_FTX

加密衍生品交易所FTX首席執行官、Serum創始人SamBankman-Fried今日在推特發文稱,Sushiswap現在已經成功過渡到mult-sig合約之下,要向Uniswap表示祝賀.

1900/1/1 0:00:00
Binance因監管問題為由主動宣布退出加拿大市場_NCE

Binance因監管問題為由主動宣布退出加拿大市場金色財經2023年05月12日20:46微信掃一掃分享到朋友或朋友圈Binance已向執法部門對Bitzlato的調查提供大量協助:1月24日消.

1900/1/1 0:00:00
ads