北京时间?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平台Platypus?Finance遭遇闪电贷攻击,被盗走约900?万美元。攻击者部署了未经验证的合约,并利用闪电贷消耗了协议中的约?900?万美元。
攻击步骤
三次攻击,我们将选择金额最大的用来解析流程:
1.攻击者将闪电贷获得的?4400?万?USDC?存入?PlatypusUSDC?池,并获得?4400?万LP-USDC。
2.攻击者将这?4400?万?LP-USDC?存入?MasterPlatypusV?4?。
报告:黑客组织利用加密恶意软件掩饰攻击行为和创收:12月1日消息,微软在周一晚间发布的一份报告中称,越南政府支持的代号为APT32和OceanLotus黑客组织最近被发现在他们的常规网络间谍工具包之外,还部署了加密货币挖矿恶意软件。在2020年7月至8月的行动中,该组织部署了Monero矿工,对法国和越南的私营部门以及政府机构的进行攻击。微软称,该组织利用这种通常与网络犯罪活动有关的加密恶意软件,对事件响应者进行伪装,使他们相信自己的攻击是低优先级的随机入侵。其次,该组织正在试验创收新方法。(zdnet)[2020/12/1 22:41:08]
3.该平台的借贷限额被设置为?95%?,这意味着攻击者最多可以用他们的?4400?万?LP-USDC?借到大约?4180?万?USP。
声音 | Coinbase回应Neutrino创始人黑客历史 :对此知情 不“宽恕”这种行为:Coinbase近日收购了区块链分析初创公司Neutrino,但Neutrino的创始人Valleri和Ornaghi被发现在成立Neutrino之前就建立了黑客团队,媒体The Block的Matteo Leibowitz质疑这种“持续促进侵犯人权的行为”损害了Coinbase关于民主化和加密货币民主化的主张。Coinbase对此回应称:这段“黑历史”他们是知情的,但不会“宽恕”或“捍卫”这些行为。但公司需要Neutrino的技术以更好的保护用户数据。[2019/2/27]
4.攻击者在?PlatypusTreasure?合约中调用了borrow来铸造大约?4180?万?USP。
韩国互联网振兴院与三星、SK电信合办区块链及物联网黑客松:韩国科学技术情报通讯部与韩国互联网振兴院(KISA)、三星电子与SK电信合办2018年的“资讯安全黑客松”,将针对韩国国内主要大企业在产业中实际面临的网路安全性问题提出解决方案。今年的黑客松活动主题是备受关注的区块链技术及物联网技术,这次比赛最终会选拔出5个优秀具创意的作品,获奖团队将能获得创业谘询、研究开发、技术转移及产品开发费用等支援。[2018/4/10]
5.由于借来的?USP?数额没有超过限额,协议的isSolvent值将总是返回?true。
6.由于isSolvent变量为?true,攻击者可以调用EmergencyWithdraw来提取其质押的?4400?万?LP-USDC?全部资金。
7.攻击者在支付了移除流动性的手续费用后,总共提取了?43,?999,?999,?921,?036USDC。
8.攻击者偿还了闪电贷款,并以多个稳定币的形式获利约?850?万美元。
2,?425,?762USDC
1,?946,?900USDC.e?
1,?552,?550USDT
1,?217,?581USDT.e
687,?369BUSD
691,?984DAI.e?
在撰写本文时,共大约?900?万美元被盗。其中攻击者部署的合约中仍有价值?850?万美元的资产;171,?000?美元在攻击者的地址;399,?400?美元在一个?Aave?池。
漏洞分析
造成该事件的漏洞在于?MasterPlatypusV?4?合约的函数emergencyWithdraw中偿付能力检查出现问题。其偿付能力检查没有考虑到用户的负债价值,而只检查了债务金额是否达到最大限额。偿付能力检查通过后,合约允许用户提取所有存入的资产。
函数platypusTreasure.isSolvent会返回两个值。第一个值是solvent,是一个决定了用户的债务金额是否低于借款限额的布尔值。第二个值debtAmount则显示用户所欠的债务金额。
如果用户的债务额不超过用户抵押物的?95%?的借款限额,那么solvent的值将为?true。
然而,在emergencyWithdraw函数中,偿付能力检查只验证了布尔值solvent,而忽略了债务金额。这意味着,如果用户的债务不超过借款限额,用户可以调用函数emergencyWithdraw来提取所有存入的抵押品。
通过安全审计,可以发现该设计缺陷问题。
本次事件的预警已于第一时间在?CertiK?官方推特进行了播报。欢迎大家随时关注?CertiK?官方推特,获取更多与漏洞、黑客袭击以及?RugPull?相关的社群预警信息。
GambleFi协议将面临的主要障碍之一是激励流动性。他们需要流动性来吸引更多的用户,并反过来提供有吸引力的实际收益.
1900/1/1 0:00:00主要观点在没有数字资产立法的情况下,美国证券交易委员会继续通过执法进行监管;经济数据继续表明了比美联储希望的更持久的通胀压力.
1900/1/1 0:00:00金色财经报道,稳定币交易项目Platypus遭黑客攻击后,在区块链安全公司BlockSec的帮助下,至少已有240万美元资金被追回.
1900/1/1 0:00:00数据显示,比特币活跃地址近期并没有明显增加,表明当前的涨势可能难以为继。比特币活跃地址尽管反弹仍停滞不前正如CryptoQuant帖子中的分析师所指出的那样,之前的BTC反弹看到了该指标的价值增.
1900/1/1 0:00:00金色财经报道,总部位于德克萨斯州的GrainChain宣布了一轮2900万美元的融资。这包括来自Overstock的1000万美元,它通过MediciVentures为GrainChain提供了.
1900/1/1 0:00:00親愛的ZT用戶:ZTETF板即將上線SSVBULL,SSVBEAR並開啟SSVBULL/USDT,SSVBEAR/USDT交易對.
1900/1/1 0:00:00