月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 以太坊 > 正文

ARK:慢雾分析 AutoShark 被黑:黑客利用 AutoShark 策略池机制分两步完成攻击_sharpay

作者:

时间:1900/1/1 0:00:00

链闻消息,慢雾区针对币安智能链上DeFi项目AutoSharkFinance被黑分析称,由于AutoShark策略池的机制,攻击者需要事先存入一定数量的LP代币到策略池中,为后续攻击做准备。整个攻击其实分成了2步,第2笔攻击交易的具体攻击步骤如下:1.攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB;2.将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK,同时池中WBNB的数量增多;3.将第1步和第2步的WBNB和SHARK打入到SharkMinter中,为后续攻击做准备;4.调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励SHARK代币,这部分操作在SharkMinter合约中进行操作;5.SharkMinter合约在收到用户收益的LP手续费之后,会将LP重新拆成对应的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6.由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中,SharkMinter合约在移除流动性后再添加流动性的时候,使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加,这部分余额包含攻击者在第3步打入SharkMinter的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中;7.SharkMinter合约在获取到手续费的数量后,会通过tvlInWBNB函数计算这部分手续费的价值,然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候,使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中,Panther池中WBNB的数量已经非常多,导致计算出来的LP的价值非常高;8.在LP价值错误和手续费获取数量错误的情况下,SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币;9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。

慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。

据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

慢雾:BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息,10月30日攻击BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/11/3 6:28:49]

金色独家 慢雾安全团队:有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件,金色财经特邀请慢雾安全团队对此事进行解读,慢雾安全团队表示:EOS 投票关键期频发私钥被盗问题,慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析,可能的被盗途径有:

1、使用了不安全的映射工具,映射使用的公私钥是工具开发者(攻击者)控制的,当 EOS 主网上线后,攻击者随即 updateauth 更新公私钥;

2、映射工具在网络传输时没有使用 SSL 加密,攻击者通过中间人的方式替换了映射使用的公私钥;

3、使用了不安全的 EOS 超级节点投票工具,工具开发者(攻击者)窃取了 EOS 私钥;

4、在不安全的 EOS “主网”、钱包上导入了私钥,攻击者窃取了 EOS 私钥;

5、用户存储私钥的媒介不安全,例如邮箱、备忘录等,可能存在弱口令被攻击者登录窃取到私钥;

6、在手机、电脑上复制私钥时,被恶意软件窃取。

同时,慢雾安全团队提醒用户自查资产,可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误,余额是否准确。如果发现异常并确认是被盗了,可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]

标签:ARKSHARKSHABNBBARKShark CoinsharpayMBNB币

以太坊热门资讯
比特币:从「MEME积木」到千亿美元蒸发:加密市场到底经历了什么?_MOONI价格

对于任何想要进入加密货币甚至创造自己的代币的人来说,MEME类项目是一种公平的游戏。所需要的只是一份加密货币合同和一些交易网站上的一些账户.

1900/1/1 0:00:00
ROM:库币上线Prometeus (PROM)!_PROM

亲爱的库币用户:我们很高兴地宣布,库币将上线Prometeus(PROM)项目并支持交易对PROM/USDT和PROM/BTC.

1900/1/1 0:00:00
比特币:币价暴跌 跌破主流机构的持仓成本了吗?_METALUNA

盘了遍主流机构入手比特币的成本,好家伙,有的比我还高。近期,加密市场迎来大回调。比特币接连跌破四万、三万美元关口,其他加密货币价格基本腰斩,「币圈崩盘」登上微博热搜.

1900/1/1 0:00:00
KEX:BKEX Global 关于上线 GTC(Gitcoin)并开放充值功能的公告_PKEX币

尊敬的用户:???????????BKEXGlobal即将上线GTC,详情如下:上线交易对:GTC/USDT?币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2021年5月26日1.

1900/1/1 0:00:00
狗狗币:5.25比特币行情解析 暴跌后终迎反弹 能涨到哪?_EOSDT

比特币昨日一路震荡上行,终于打破短期的压制一路上涨,到凌晨最高涨至39900附近后承压回落,目前在38000附近震荡.

1900/1/1 0:00:00
加密货币:英国《金融时报》:金融人才加速流向加密货币领域_PLEB价格

据英国《金融时报》报道,随着数字资产日益活跃,金融人才正加速流向加密货币领域。这一热潮也呼应了2017年加密货币市场牛市期间交易员和银行家的工作变动趋势.

1900/1/1 0:00:00