月亮链 月亮链
Ctrl+D收藏月亮链
首页 > ADA > 正文

MPH:黑客的狂欢,限于技术掣肘的DeFi如何破局?_deFIRE

作者:

时间:1900/1/1 0:00:00

2020年3月Compound推出“借贷挖矿”模式,让沉寂多时的币圈再次燥动起来。一位参与过DeFi挖矿的“矿工”表示,为了抢到头矿,他把注押在未经测试的代码上,“不管安不安全,先把头矿抢了。”开发者们更急,为了快速上线主网,从新发布的代码中获得最大收益,他们直接略过了安全审计的步骤。那些稳如泰山的黑客们,也开始把握机会,凭借自身技术实力,伺机攻击那些没有做好安全预防措施的DeFi们。进入11月,发生在DeFi协议上的攻击一起接着一起,DeFi们俨然沦为黑客的取款机。据PeckShield统计,截至目前共发生8起与DeFi相关的安全事件,包括YearnFinance、Percent.finance、CheeseBank、OriginProtocol、Akropolis、ValueDeFi、YFV、88mph,造成损失逾2100万美元。惊险时分:24小时发生两起攻击事件损失近800万美元

Mango Markets 社区将批准 4700 万美元与黑客的交易:金色财经报道,Mango Markets 治理论坛正在通过投票,批准为通过该协议窃取1.14亿美元的黑客提供巨额漏洞赏金。根据提供的交易条款,黑客将返还大约6700万美元的代币,并保留剩余的 4700 万美元作为漏洞赏金。治理投票还规定,该项目将使用国库资金注销任何剩余的坏账,一旦返还部分代币,将不再进行刑事调查。治理投票有1.19亿个代币投票赞成,460万个反对该交易。投票已达到法定人数,这意味着投票可能会在10月15日早些时候结束时通过。?

金色财经此前报道,10月12日,Mango遭黑客攻击,损失约1.14亿美元。[2022/10/15 14:28:08]

11月17日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击(Re-entrancyattack),造成价值770万美元的损失。随后,11月18日,PeckShield监控到DeFi固定利率借贷协议88mph存在代码漏洞,一名攻击者利用该漏洞铸造了价值10万美元MPH代币。据悉,88mph于11月16日上线主网,上线仅48小时就遭到了攻击。在88mph协议中,用户可通过存入加密资产赚取固定利息,并获得其原生代币MPH,也可通过购买浮动利率的债券来获取MPH代币。上线仅48小时后即遭伏击

美国已追回支付给Colonial?Pipeline黑客的数百万美元加密货币:美国追回了支付给Colonial?Pipeline勒索软件黑客的价值数百万美元的加密货币。法庭文件显示,美国政府从此前支付的75枚比特币中追回了63.7枚。美国司法部已授权政府没收这63.7枚比特币。 此前消息,美国最大的成品油管道运营商Colonial Pipeline遭攻击,黑客索要价值数百万美元的加密货币赎金。(CNN)[2021/6/8 23:19:24]

PeckShield通过追踪和分析发现,首先,攻击者调用DInterest::deposit()函数将稳定币储存在资金池中,此时,存款者会收到一个新的depositID,它相当于非同质化通证,同时MPHMinter合约会开始铸造MPH代币;

声音 | 中科院博士:区块链现在是黑客的提款机:据雷锋网报道,从事区块链的学术研究的中科院博士赵赫近日在探讨区块链安全事件时表示:区块链的现状等于黑客的提款机,很容易变现,基本跟钱是一回事,而且很难追踪。[2018/9/11]

随后,调用fundAll()函数购买浮动利率的债券,在此步骤中,用户可获得MPH代币和一个fundingID;

动态 | 菲律宾游戏玩家成为非法加密货币采矿黑客的主要目标:据Cryptovest消息,网络安全专家Pilao称,菲律宾游戏玩家成为网络犯罪分子的主要目标,其被犯罪分子利用计算机来挖掘数字货币,计算机面临崩溃的风险。Pilao还称:“游戏玩家必须意识到所涉及的隐私风险,特别是当大多数流行游戏最近都有在线组件或付费游戏商业模式时更需注意。“[2018/8/13]

接下来,攻击者将步骤1和步骤2所获得的depositID及fundingID传入earlywithdraw()函数提取在这两步中所存入的资产。也就是说,攻击者将步骤1中原本要锁仓1年的加密资产被提前取出,此时攻击者不会获得任何利息,因此步骤2中提供的资金也原路退回,并且MPHMinter会销毁在步骤1中铸造的所有MPH代币。值得注意的是,在第2步中所铸的MPH代币并没有被销毁。攻击者利用这点,以0成本获得了步骤2所铸造的价值10万美元的MPH代币。

通过重复操作这三个步骤,攻击者铸造了价值10万美元的MPH代币,并将其存入UniswapV2:MPH4池中。利用另一漏洞侥幸逃过一劫

事实上,MPHMinter合约还有一个漏洞,而开发者利用此漏洞侥幸逃过一劫,使得此次攻击暂未造成任何经济损失。首先,开发者调用takeBackDepositorReward将所获MPH代币从UniswapV2:MPH4转移到govTreasury,该函数没有设置门槛,任何人都可调用此函数将MPH代币转移到govTreasury中。

由于攻击者将获得的MPH代币存入了UniswapV2:MPH4池子当中,而88mph项目方自己掏空了该池子,然后做了快照,因此暂未造成任何经济损失。

PeckShield相关负责人表示:“黑客们的攻击可能会毁灭或‘杀死’一个项目,DeFi们不要存在侥幸心理,应该做好充分的预防措施。如果对此不了解,应该找专业的审计机构对代码进行彻底地审计和研究,防范各种可能发生的风险。”开发者编写的每一段代码,就如同工业生产中的螺丝钉一般,即使很微小,却与DeFi行业的兴衰成败紧密相连。DeFi的生态仍处于早期发展阶段,但区块链的核心价值在于普世的信任,如果DeFi们仍一味追求快速上线主网,忽视代码的审计安全,最终只能将社区成员的信任消磨殆尽,成为没有灵魂的躯壳。

标签:MPHDEFDEFIEFIMPH价格DeFiHorseFarm DefideFIRE

ADA热门资讯
COM:9000万美元被清算,我们去DeFi平台借贷时需要注意什么_UND

编者按:本文来自知矿大学,Odaily星球日报经授权转载。11月26日下午,去中心化借贷平台Compound遭遇黑客攻击,价值约9千万美元的加密资产被系统强制清算.

1900/1/1 0:00:00
ETH:ETH2.0为挖矿带来哪些不确定性?_ETH2SOCKS币

ETH2.0就像一把达摩克里斯剑,一直悬在矿工头顶,一方面,ETH2.0进展带来币价上涨,让矿工增收,另一方面,ETH2.0的发展也为矿工挖矿带来一些不确定性.

1900/1/1 0:00:00
比特币:比特币是最大的“大空头”?_QUOTH

大空头——派拉蒙电影公司当目标金融工具价格下跌时,卖空者就会赚钱,但他们并不总是受到企业或政府领导人的欢迎。那些对股票或货币进行反面押注的人,往往被描绘成破坏人们努力建设、发展和创造价值的鲨鱼.

1900/1/1 0:00:00
ETH:在ETH2.0上线的利益链中,你在哪一环?_eth2.0币价会涨吗

哈噜大家好,上篇有简单介绍到ETH2.0概况以及2.0上线的几个阶段,接下来我将给大家介绍一下如何进行质押操作~我们如何参与ETH2.0质押获得受益?ETH持有者们可以通过以下两种方式参与以太坊.

1900/1/1 0:00:00
ITA:明星项目周报 | 闪电贷攻击继续肆虐;Uniswap停止挖矿后锁仓量腰斩(11.16-11.22)_Paragon Capital

11月16日-11月22日当周,明星项目进展中值得关注的事件有:Uniswap初始流动性挖矿计划结束.

1900/1/1 0:00:00
TRU:TRU,DeFi中的无抵押借贷,这玩的转吗?市值2亿多,套了一批人_TRUE

编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。随着BTC的崛起,ETH不断破新高,DeFi在大力反弹。各种新的DeFi项目又开始活跃起来,uniswap上的新币也开始躁动起来.

1900/1/1 0:00:00