慢雾安全团队对今日DEUSFinanceDAO遭受的闪电贷攻击原理进行了分析:1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
安全公司:已阻止一次攻击并帮助0xsifu挽救100 ETH:4月9日消息,安全公司BlockSec发推称,已成功阻止一个攻击交易并挽救100 ETH,0xsifu可以与其联系。
据此前报道,派盾发推称,SushiSwap RouteProcessor2合约存在与Approve相关漏洞,导致Frog Nation前CFO 0xsifu损失超过330万美元(约1900 ETH)。派盾提醒用户尽快撤销0x044b7开头合约相关权限以避免遭受损失。
此前推特用户Trust表示,自己已进行白帽黑客攻击并转移0xsifu的100 ETH,希望将其归还给0xsifu,0xsifu可以私信联系自己。Trust之后发推称,“这太疯狂了。在我拯救一切之前,MEV机器人已经部署合约并复制了攻击。”[2023/4/9 13:53:12]
本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考AlphaFinance关于获取公平LP价格的方法。
安全公司:YFV项目勒索事件根本原因在于没有做好上线前的代码审计工作:今日早间,基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。
成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的 lastStakeTimes“stakeFor”= block.timestamp; 语句会更新用户地址映射的laseStakeTimes“user”。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes“account”+72小时。
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。[2020/8/25]
此前消息,DEUSFinance遭到闪电贷攻击,损失约1700万美元,攻击者钱包已将5446枚ETH分批转入TornadoCash。
动态 | 安全公司:全球知名第三方js服务被劫持 存在针对交易所的攻击行为:慢雾预警,全球知名第三方 js 服务被劫持,存在针对交易所的攻击行为。今日ESET 的研究人员发现黑客修改StatCounter分析平台使用的JavaScript 代码,并试图嵌入Gate.io 页面盗取加密货币。研究人员称,由于攻击者使用多个帐户来接收被盗资金,所以并不能确切知道被盗的数量。然而,他们认为损失可能很大。ESET表示已通知两家公司此次袭击事件,但目前尚未收到Gate.io 回复评论请求,也无法联系到 StatCounter。[2018/11/7]
质押协议LidoFinance在推特上宣布,用LidoGrant资助以太坊核心贡献者代币补偿计划ProtocolGuild的提案现已获得通过,将分配200万枚LDO用于资助以太坊协议贡献者.
1900/1/1 0:00:00Web3媒体开发工具公司DNABLOCK宣布完成700万美元第二轮种子轮融资,Sfermion、SolanaVentures、AnimocaBrands和Non-FungibleLabs领投.
1900/1/1 0:00:00据Cointelegraph报道,美国怀俄明州批准了加密交易商SFOX的信托许可证,允许该公司向机构客户提供托管和其他加密相关服务.
1900/1/1 0:00:00PanteraCapital将其区块链基金筹集目标提高至10亿美元,并将于4月关闭新投资者招募。据悉,该公司今年5月宣布正在为该基金筹集6亿美元.
1900/1/1 0:00:00据coinquora报道,欧盟委员会新闻官LauraBernard在表述银行对账单等资金证明对国际旅行的重要性时补充道,加密资产等其他资产证明在个别情况下有可能被接受.
1900/1/1 0:00:00基于Aurora区块链的DeFi协议Bastion完成900万美元A轮融资,ThreeArrowsCapital领投.
1900/1/1 0:00:00