比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元_SDC

Author:

Time:1900/1/1 0:00:00

北京時間?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平臺Platypus?Finance遭遇閃電貸攻擊,被盜走約900?萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約?900?萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的?4400?萬?USDC?存入?PlatypusUSDC?池,并獲得?4400?萬LP-USDC。

2.攻擊者將這?4400?萬?LP-USDC?存入?MasterPlatypusV?4?。

Maison Ghost的Discord遭到黑客攻擊,約265枚NFT被轉入黑客錢包:金色財經報道,根據MaisonGhost推特及Discord內信息,Maison Ghost的Discord遭到黑客攻擊,約265枚NFT被轉入黑客錢包,其中包括Sandbox與3landers NFT。[2022/3/25 14:17:38]

3.該平臺的借貸限額被設置為?95%?,這意味著攻擊者最多可以用他們的?4400?萬?LP-USDC?借到大約?4180?萬?USP。

4.攻擊者在?PlatypusTreasure?合約中調用了borrow來鑄造大約?4180?萬?USP。

推特黑客事件策劃者Graham Clark此前曾進行過游戲道具交易詐騙:推特黑客事件策劃者Graham Clark的朋友向媒體表示,在黑客事件發生前,Clark曾多次進行過游戲道具交易詐騙,即聲稱向其他玩家“出售”Minecraft中的道具,但在收錢后拒不交貨。

注:美國司法部上周五宣布,三名涉嫌參與著名社交網站推特(Twitter)賬戶大規模被盜事件的黑客Mason Sheppard、Nima Fazeli、Graham Clark已被起訴。(Techspot)[2020/8/4]

5.由于借來的?USP?數額沒有超過限額,協議的isSolvent值將總是返回?true。

動態 | SpankChain平臺被盜的ETH已被黑客歸還:據Coindesk消息,一名從SpankChain平臺偷走165.38 ETH的黑客已退還資金。此前,數字貨幣項目SpankChain遭受了黑客攻擊,損失了165.38 ETH(當時價值約3.8萬美元),另有價值4000美元的BOOTY幣遭凍結。[2018/10/12]

6.由于isSolvent變量為?true,攻擊者可以調用EmergencyWithdraw來提取其質押的?4400?萬?LP-USDC?全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了?43,?999,?999,?921,?036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約?850?萬美元。

2,?425,?762USDC

1,?946,?900USDC.e?

1,?552,?550USDT

1,?217,?581USDT.e

687,?369BUSD

691,?984DAI.e?

在撰寫本文時,共大約?900?萬美元被盜。其中攻擊者部署的合約中仍有價值?850?萬美元的資產;171,?000?美元在攻擊者的地址;399,?400?美元在一個?Aave?池。

漏洞分析

造成該事件的漏洞在于?MasterPlatypusV?4?合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的?95%?的借款限額,那么solvent的值將為?true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在?CertiK?官方推特進行了播報。歡迎大家隨時關注?CertiK?官方推特,獲取更多與漏洞、黑客襲擊以及?RugPull?相關的社群預警信息。

Tags:USDUSDCSDCLATUSD 價格AUSDCPCUSDC幣platon幣前景

pepe最新價格
BKEX 關于上線 CSIX(Carbon Browser) 的公告_BKK

尊敬的用戶:?????????BKEX即將上線CSIX?,詳情如下:上線交易對:CSIX/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2023年2月20日18:00.

1900/1/1 0:00:00
解讀Arweave2.6版本:如何降低能源消耗和提升存儲激勵?_ARW

2?月?11?日,存儲網絡Arweave宣布?2.6?版本已經開發完成,創始人?SamWilliams?表示將會在?3?月?6?日激活網絡硬分叉.

1900/1/1 0:00:00
BTC自8月以來首次達到25000美,原因是加密貨幣市場_加密貨幣

在每日大幅上漲15%之后,OKB創下歷史新高。比特幣從21,500美元飆升至近25,000美元的六個月高位,創下了一段時間以來最令人印象深刻的每日價格漲幅之一.

1900/1/1 0:00:00
以太坊:幣安研究稱“大多數 ETH 質押者都在水下”_NAN

周四,交易量最大的加密貨幣交易所Binance的研究部門BinanceResearch發布了一份研究報告,詳細介紹了以太坊即將在上海進行的升級.

1900/1/1 0:00:00
主網上線,一文速覽zkSync Era更新功能_SYN

2?月?16?號,ZK?系L2擴容解決方案?zkSync?宣布了?2.0?版本的上線,并將此版本稱為?Era,?1.0?版本將更名為?lite,兩者將長期并存,承擔不同的任務類型.

1900/1/1 0:00:00
Ordinals推出后比特幣平均區塊大小升至3.0-3.5 MB,與該協議發布前相比幾乎翻倍_ORDI

金色財經報道,據Glassnode數據顯示,自Ordinals推出以來,比特幣的平均區塊大小上限顯著增加,幾周內從1.5-2.0MB增加到3.0-3.5MB.

1900/1/1 0:00:00
ads