据慢雾安全团队情报,ETH链上的DFXFinance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:
1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱
慢雾:Apple Store恶意钓鱼程序可模仿正常应用程序,盗取账号密码以绕过2FA:7月25日消息,慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例,其中Apple Store出现恶意钓鱼程序,通过模仿正常应用程序盗取用户账号和密码,然后攻击者把自己的号码加入双重认证的信任号码,控制账号权限,用来绕过苹果的2FA。“加密货币用户务必注意,因为目前有不少用户、钱包的备份方案是iCloud备份,一旦被攻击,可能造成资产损失”。[2023/7/25 15:56:56]
2.紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款
慢雾:过去一周Web3生态系统因安全事件损失近160万美元:6月26日消息,慢雾发推称,过去一周Web3生态系统因安全事件损失近160万美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证
分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]
4.由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查
5.最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚的XIDR代币和99,866枚USDC代币获利
此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
作者:wesely,DeFi之道FTX,花了两年时间坐上二把手的位置,只在一夕之间跌落神坛,百亿估值如昙花泡影,一朝散尽,放在年轻的加密行业发展史中,它也如一颗巨石,跌落湖中央.
1900/1/1 0:00:00作者:LefterisKokoris-Kogias来源:paradigm.xyz编译:ETH中文大家鲜少提到如何正确地测量一个系统,但它却是系统设计和评估过程中最重要的步骤.
1900/1/1 0:00:00作者:ApeXPro最近FTX事件接连发酵引发行业震荡,尤其是曾经是FTX的早期投资,持有大量FTT代币的币安创始人CZ发推称,要清仓其持有的FTT,此番操作势必让FTT价格大跌,于是乎.
1900/1/1 0:00:00整理:润升,链捕手“过去24小时都发生了哪些重要事件”?1、淡马锡:向FTX、FTXUS投资约2.75亿美元,曾花费8个月尽调显示FTX盈利淡马锡发布《关于FTX的声明》,淡马锡表示.
1900/1/1 0:00:00撰文:angelilu,ForesightNewsFTX暴雷对市场的影响已从各大交易所蔓延至NFT市场,根据OpenSea数据.
1900/1/1 0:00:00撰文:BuidlerDAOCo-founder?Jason,《BuidlerDAO:我所理解的Layer0、1、2层到底是什么?》这是我第一篇宏观分析类型的文章.
1900/1/1 0:00:00