2018年7月3日,慢雾安全团队披露了USDT上的假充值问题。当交易所或钱包在检测USDT入账时没有对交易中的vaild字段进行校验的时候,就会产生USDT假充值漏洞。近日,根据慢雾区情报,有黑客采取新型USDT假充值手法,黑客采取在Omni上发行其他类型的代币伪造成USDT对交易所或钱包进行USDT假充值,当交易所或钱包在检测USDT充值时如果没有校验交易中的propertyid,就会导致假充值情况的发生。经慢雾安全团队验证,已有交易所因此问题导致损失。由于USDT在Omni协议上的广泛使用,大多数人认为Omni协议上只有USDT,导致忽略Omni协议上的其他类型的不知名币种,容易造成假充值问题。慢雾安全团队建议交易所或钱包自查USDT入账逻辑,必要时联系慢雾安全团队进行验证。
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
慢雾:Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX,并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外,Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]
动态 | 慢雾区:已修复EOS智能合约底层asset类溢出缺陷:据慢雾区消息, EOS智能合约底层asset类存在溢出缺陷,目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作,建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的,必须重新编译才能解决其中的安全隐患。[2018/8/9]
标签:USDSDTUSDTOMNIusda稳定币是吗btc价格今日行情usdtusdt币交易违法吗能投入吗Omnisphere DAO
条款1、OTC交易是用户之间点对点的交易,买家场外转账付款,卖家收到款项后进行确认放币。2、用户交易前,必须进行人脸实名认证、绑定本人银行卡、支付宝或者微信收款账户.
1900/1/1 0:00:00尊敬的用户:IOTE即将上线BiKi平台,同时举办持仓返利、合伙人专属空投及社群红包雨的活动,具体上线时间及活动规则如下:一、IOTE的充值、提现及开放IOTE/USDT交易对1、开放充值时间:.
1900/1/1 0:00:00我们很高兴的宣布,SGU超级游戏联盟Token:SGU,将于2020年3月14日14:00登陆全球顶尖数字交易平台ZBG进行首发,并开放SGU/USDT和SGU/QC交易对.
1900/1/1 0:00:00尊敬的用户:火币公链测试网于2020年2月28日正式上线。火币公链是自主创新的面向金融领域的可监管区块链操作系统,是基于区块链的全球性资产数字化及金融市场的基础设施.
1900/1/1 0:00:00与有组织的市场和股票的历史相比,算法交易的历史相对较短:只有40多年的历史之于传统市场的4个世纪。然而,在过去的40年中,就做出交易决定所涉及的流程的多样性和复杂性而言,已经取得了惊人的进步.
1900/1/1 0:00:00最近有读者问我波卡这个项目如何。最近也有很多关于波卡这个项目的资讯,主网很有可能在今年上线,但也大概率是在6月之后;有媒体分析波卡上线的目标价位是135美元.
1900/1/1 0:00:00