STA:安全公司：DEUS Finance遭受攻击的原因是使用了不安全的预言机来计算LP价格_USDC

慢雾安全团队对今日DEUSFinanceDAO遭受的闪电贷攻击原理进行了分析：1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

安全公司：已阻止一次攻击并帮助0xsifu挽救100 ETH:4月9日消息，安全公司BlockSec发推称，已成功阻止一个攻击交易并挽救100 ETH，0xsifu可以与其联系。

据此前报道，派盾发推称，SushiSwap RouteProcessor2合约存在与Approve相关漏洞，导致Frog Nation前CFO 0xsifu损失超过330万美元（约1900 ETH）。派盾提醒用户尽快撤销0x044b7开头合约相关权限以避免遭受损失。

此前推特用户Trust表示，自己已进行白帽黑客攻击并转移0xsifu的100 ETH，希望将其归还给0xsifu，0xsifu可以私信联系自己。Trust之后发推称，“这太疯狂了。在我拯救一切之前，MEV机器人已经部署合约并复制了攻击。”[2023/4/9 13:53:12]

本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考AlphaFinance关于获取公平LP价格的方法。

安全公司：YFV项目勒索事件根本原因在于没有做好上线前的代码审计工作:今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。

成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes“stakeFor”= block.timestamp; 语句会更新用户地址映射的laseStakeTimes“user”。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes“account”+72小时。

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易，两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。[2020/8/25]

此前消息，DEUSFinance遭到闪电贷攻击，损失约1700万美元，攻击者钱包已将5446枚ETH分批转入TornadoCash。

动态 | 安全公司：全球知名第三方js服务被劫持 存在针对交易所的攻击行为:慢雾预警，全球知名第三方 js 服务被劫持，存在针对交易所的攻击行为。今日ESET 的研究人员发现黑客修改StatCounter分析平台使用的JavaScript 代码，并试图嵌入Gate.io 页面盗取加密货币。研究人员称，由于攻击者使用多个帐户来接收被盗资金，所以并不能确切知道被盗的数量。然而，他们认为损失可能很大。ESET表示已通知两家公司此次袭击事件，但目前尚未收到Gate.io 回复评论请求，也无法联系到 StatCounter。[2018/11/7]

标签：STADEIUSDUSDCSTASH币BRIGADEIRO币GUSDPCUSDC币

XLM热门资讯