8月4日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,跨鏈收益率提升平臺Popsicle Finance下Sorbetto Fragola產品遭到攻擊,導致了約2070萬美元的損失,攻擊者共獲利2.6K WETH,5.4M USDC,5M USDT,160K DAI,10K UNI,和96 WBTC。
攻擊如何發生 Event overview
首先,跟我們了解一下Popsicle Finance是什么?
這是一個很有意思的項目,主要做跨鏈流動性挖礦。在DeFi 大熱的時候,大家都在找流動性挖礦的機會,希望讓自己的資產收益最大化。但因以太坊主網 gas 費用居高不下,給了二層、側鏈、其他區塊鏈迅速發展壯大的機會。在多鏈時代下,Popsicle Finance就在這樣的背景下誕生了。
安全團隊:MTDAO項目方的未開源合約遭受閃電貸攻擊,損失近50萬美元:金色財經報道,據Beosin EagleEye Web3安全預警與監控平臺檢測顯示,MTDAO項目方的未開源合約0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受閃電貸攻擊,受影響的代幣為MT和ULM。攻擊交易為0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共獲利487,042.615 BUSD。攻擊者通過未開源合約中的0xd672c6ce和0x70d68294函數,調用了MT與ULM代幣合約中的sendtransfer函數獲利(因為同為項目方部署,未開源合約0xFaC06484具有minter權限)。
Beosin安全團隊分析發現攻擊者共獲利1930BNB,其中1030BNB發送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部轉移到龍卷風地址,其余的swap為其他代幣轉移到其它地址。用戶和項目方請盡快移除流動性,防止攻擊合約有提幣和兌換接口。[2022/10/17 17:29:32]
在遭到黑客攻擊后,Popsicle Finance團隊成員立即發推表示,目前僅有 Sorbetto Fragola 一款產品受到影響。團隊將在幾周內修復漏洞并對用戶損失進行賠償。
數據:比利時投資者因加密和外匯詐騙損失近1200萬美元:比利時金融服務和市場管理局(FSMA)報告顯示,2019年5月至2020年9月期間,比利時投資者因欺詐平臺(包括處理加密貨幣的平臺)損失超1000萬歐元(約合1180萬美元)的資金。FSMA報告稱,這些平臺利用社交媒體上的虛假廣告欺騙受害者,這些廣告上有名人的照片,引導他們向其提供信息。“這些平臺經常使用非常激進的方法,試圖說服你投入更多資金。他們還會試圖說服你讓他們遠程控制你的電腦,以便能夠進行某些支付。”(Cointelegraph)[2020/10/12]
攻擊者如何得手 Event overview
攻擊者地址:
0xf9E3D08196F76f5078882d98941b71C0884BEa52
動態 | 加密貨幣采礦公司Hut 8 2018年總損失近1.4億美元:據Cointelegraph消息,根據5月6日加密貨幣采礦公司Hut 8發布的年度收益報告,2018年Hut 8收入接近5000萬美元,但總損失近1.4億美元。該公司高管稱,隨著時間進入2019年,公司將繼續謹慎、專注地管理運營。2018年底進行了削減成本的舉措,將把握比特幣價格上漲機遇提高利潤率。[2019/5/8]
攻擊合約:
A:
0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6
B:
0x576Cf5f8BA98E1643A2c93103881D8356C3550cF
C:
0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8
攻擊交易:
動態 | 今日 EOS DApp 總損失近 30 萬EOS 是目前丟失數量最多的安全事件:據 IMEOS 報道,今日眾多 EOS DApp 遭遇回滾攻擊,BetDice 損失 20 萬 EOS, EOS Max 損失超 5 萬 EOS,ToBet 損失 22000 EOS,Big.game 損失 8000 EOS。[2018/12/19]
0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc
攻擊者使用相同的攻擊方式獲利了多種代幣,以下以USDT為例分析:
Round 1
攻擊者使用合約A通過閃電貸獲取USDT和ETH。
Round 2
聲音 | PeckShield:EOSBet遭“偽造轉賬通知” 損失近14萬EOS:據媒體報道,EOSBet平臺今天下午遭受了攻擊,區塊鏈安全公司PeckShield第一時間監測并捕捉到了該攻擊行為的發生。PeckShield安全人員進一步分析發現,黑客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉賬通知,總計從eosbetdice11獲利138,319.7995EOS。據PeckShield態勢感知平臺監測發現,今天下午13:27到13:38之間,賬號ilovedice123總共發起了10余筆大額轉賬指向交易所平臺,其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。根據EOS當前行情價格37元估算,EOSBet平臺此次損失額超500萬元。[2018/10/15]
通過合約A調用SorbettoFragola的deposit函數獲取憑證代幣PLP。
Round 3
將PLP發送給合約B并執行SorbettoFragola的collectFee函數,這時輸入的amount均為0,更新合約B的獎勵參數。之后將PLP發送到合約C,進行同樣的操作。合約C完成操作后將PLP發送回合約A。
因為合約B、C持幣,所以會計算更新其獎勵(不隨代幣轉移清空),更新后的數值如下圖所示:
Round 4
合約A執行SorbettoFragola的withdraw函數,銷毀PLP代幣。取出本金后更新相關參數為最新。
Round 5
接著合約B與合約C再度執行collectfee函數。
輸入的amount為上面更新后的數值tokenReward。
這時因為滿足此處條件,所以會到pool地址(UNIV3的對應交易對地址)去移除流動性,并將代幣發送給合約B、C。
Round 6
合約C再次調用collectfee函數獲利。
此時amount如下圖所示:
最后,滿足調用pay函數的條件,通過pay函數向合約C發送代幣。
事件復盤
我們需要注意什么 Case Review
Popsicle Finance最初管理的是跨鏈流動性,于6月26日推出Sorbetto Fragola 以管理Uniswap v3流動性。
項目方應該也沒有預料到,黑客會在今日進行攻擊,導致了約2070萬美元的損失。可見,安全預判是多么重要。
注意
成都鏈安在此建議,對于項目方而言,在PLP轉移時,應該重新計算并更新PLP發送方與接收方的獎勵值,避免獎勵重復發放。此外,項目的邏輯缺陷一定要得到重視。
Tags:EOSBETFRAORBleostokenSatoshiStreetBetsCryptoFranckorbit300
Ankr 推出的平行鏈債券代表鎖定在眾貸池中資金的權益證明,意在使參與平行插槽拍賣的用戶避免資產長期鎖倉帶來的流動性「損失」.
1900/1/1 0:00:00當去中心化應用尋求擴容方案時,不同類型的應用有不同的需求。當前的擴容方案主要是設計通用的 Layer1 高速公鏈,或者是為 DeFi 應用設計的 Layer2 Rollup,而更適用的方案是:為.
1900/1/1 0:00:00“去中心化金融是我們當前金融體系更民主化的版本,它將在幾年內成熟,使人們在使用他們的數字貨幣時更加獨立和負責.
1900/1/1 0:00:00加密貨幣的早期應用主要服務于交易投機活動,而穩定幣作為一種潛在損失為零,同時潛在收益也為零的中性資產,在加密貨幣的交易中占據了極為重要的作用.
1900/1/1 0:00:00研報要點 核心投資邏輯 Terra在實踐的是當下加密世界最為期待的敘事——加密應用和傳統商業世界的破壁.
1900/1/1 0:00:00此篇以 Coinvise 項目為例介紹社交代幣如何賦能 web3 創作者,為創作者和受眾構建起橋梁。2020 年,疫情迫使創作者,品牌方和藝術家重新考慮粉絲的獲利和互動策略.
1900/1/1 0:00:00