比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Luna > Info

損失200萬美元 DeFi 協議0vix Protocol遭受閃電貸攻擊是怎么回事_HST

Author:

Time:1900/1/1 0:00:00

2023年4月28日,據Beosin-Eagle Eye態勢感知平臺消息,0vix Protocol項目遭受閃電貸攻擊,損失約為200萬美元。0VIX 在 Twitter 上證實了此次攻擊,并表示“正在調查當前情況”。

Beosin安全團隊第一時間對事件進行了分析,結果如下。

慢霧:NimbusPlatform遭遇閃電貸攻擊,損失278枚BNB:據慢霧安全團隊情報,2022 年 12 月 14 日, BSC 鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:

1. 攻擊者首先在 8 天前執行了一筆交易(0x7d2d8d),把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣,然后把 GNIMB 代幣轉入 Staking 合約作質押,為攻擊作準備;

2. 在 8 天后正式發起攻擊交易(0x42f56d3),首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB,然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出;

3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取,獎勵的計算是和 rate 的值正相關的,而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格,由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;

4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB,歸還閃電貸獲利;

此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]

攻擊交易

聲音 | Ethhub創始人:bZx疑似再次發生攻擊 或損失2388個 ETH:以太坊愛好者、Ethhub 創始人 Eric Conner 在推特上表示,bZx 攻擊疑似再次出現,如果確認的話,這一次攻擊者獲利 2,388 個 ETH(約 64.4 萬美元)。Eric 表示,攻擊者疑似借了 7500 個 ETH,換成 WETH 后,拋售換成 Synthetix 合成的 sUSD。[2020/2/18]

0x10f2c28f5d6cd8d7b56210b4d5e0cece27e45a30808cd3d3443c05d4275bb008

攻擊者地址

0x702ef63881b5241ffb412199547bcd0c6910a970

攻擊合約

動態 | EOS競猜類游戲遭遇黑客攻擊 損失2000枚EOS:Beosin成都鏈安預警:近日,根據成都鏈安區塊鏈安全態勢感知系統檢測發現,攻擊者xs***z及所屬多個子賬號,在幾天內持續對某競猜類游戲進行攻擊并獲利2000枚EOS,已于昨晚將盈利轉入big.one交易所。經過成都鏈安技術團隊詳細分析,攻擊者使用的攻擊手法仍為通過交易堵塞攻擊鏈上隨機數,值得一提的是此次攻擊者為了躲避檢測,使用了模擬挖礦的方式進行攻擊,每次獲利僅0.1EOS左右,使得安全檢測難度增加。Beosin成都鏈安在此提醒所有EOS 合約開發者關注合約安全,不要使用不安全的隨機數方案。[2019/2/21]

0x407feaec31c16b19f24a8a8846ab4939ed7d7d57

被攻擊合約

美國聯邦調查局因輕視比特幣導致損失20億美元:美國聯邦調查局因不重視比特幣,損失20億美元。2013年,FBI從網上黑市Silk Road創始人Ross William Ulbricht手上繳獲了144,336個比特幣,之后根據法院命令以每個比特幣334美元的價格將它們售出,共獲得約4820萬美元。但現在,這些比特幣的市值已經高達23.8億美元。[2017/12/15]

0x738fe8a918d5e43b705fc5127450e2300f7b08ab

1.第一步,攻擊者通過閃電貸借出大量的資金,為后面的攻擊做準備。

2.第二步,攻擊者鑄造憑證幣,已允許借出其他資產。

3.第三步,攻擊者向vGHST地址轉入1656000 枚GHST Token。

4.后續清算黑客的借貸頭寸,清算借入的頭寸用于取回原始抵押品。

5.最后攻擊者償還閃電貸。

本次攻擊黑客利用了VGHSTOracle預言機漏洞,因為VGHSTOracle預言機獲取的價格是通過vGHST合約的convertVGHST函數去獲取的,而convertVGHST函數中的計算依靠于合約中的GHST Token數量。

在操控價格前ghst為1038332409246369136,如下圖:

攻擊者向vGHST地址轉入1656000 枚GHST Token后,ghst為1785061331510841538,如下圖:

由于抬高了價格,已至于黑客可以清算借入的頭寸用于取回原始抵押品。

截止發文時,攻擊者通過跨鏈協議從matic轉移到以太坊上,目前被盜資金存放在:

https://etherscan.io/address/0x702Ef63881B5241ffB412199547bcd0c6910A970。Beosin KYT反洗錢分析平臺正在對被盜資金進行監控。

針對本次事件,Beosin安全團隊建議:合約開發時,因避免預言機被操控,建議使用更加安全的預言機來預言價格。項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

來源:Beosin

Beosin

企業專欄

閱讀更多

金色薦讀

金色財經 善歐巴

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

深潮TechFlow

MarsBit

Tags:EOSGHSTHSTNIMEOS VenezuelaGHST幣Anime Token

Luna
SignalPlus:利率飛漲 銀行衰落特別版_FRC

雖然 S&P 企業獲利表現強勁(已發布財報的 137 家企業中超過 80% 的財報結果優于預期)、耐用品數據走強以及 PacWest 的存款增長數據更加良好.

1900/1/1 0:00:00
晚間必讀5篇 | 以太坊Layer 2必知必會_區塊鏈

1.金色觀察 | 比特幣、以太坊地址類型及其生成機制全解析我們將推出名為“Foundations”(基礎)的新系列。這個新系列將以淺顯易懂的方式介紹區塊鏈技術的各“技術”維度.

1900/1/1 0:00:00
曾是BlockFi和Celsius千萬美金級客戶?一覽不丹的加密布局_NBS

喜馬拉雅山脈山腳下的不丹,曾被稱為“世界上最快樂的國度”,但不斷擴大的貿易赤字和不斷上升的進口成本之下,這個現實秘境的香巴拉正拉響經濟“警報”.

1900/1/1 0:00:00
再次售罄 特朗普是玩明白了個人NFT_BSP

前美國總統特朗普最開始或許都沒想到,原來自己在加密貨幣圈子這么受歡迎——盡管他曾經對該行業發表過不那么友好的言論.

1900/1/1 0:00:00
鏈游的 AI 革命:AI 不是一個新命題_GPT

“狼來了,狼來了……”AI 這次真的來了,如洪水猛獸,短短兩個月時間,OpenAI 旗下的 ChatGPT 月度活躍用戶數突破了一億大關,成為歷史上增長最快的應用之一.

1900/1/1 0:00:00
金色Web3.0日報 | 將有15個游戲合作伙伴在sui上線_NFT

DeFi數據 1、DeFi代幣總市值:488.78億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量21.

1900/1/1 0:00:00
ads