据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上LibertiVault合约遭遇攻击,损失约123ETH和56,234USDT价值约29万美元,以及以太坊链上35ETH和96223USDT价值约16万美元,总共超45万美元。技术人员分析发现,本次攻击是由于LibertiVault合约存在重入漏洞所导致。
peaq推出Polkadot生态系统区块链浏览器peaqScan:7月7日消息,开源区块链开发、孵化和部署实验室peaq宣布为Polkadot和Kusama生态系统推出基于Substrate的开源区块链浏览器peaqScan,提供Agung测试网数据的可视化图表。该浏览器可以在peaq的GitHub下载。(Cryptoninjas)[2022/7/7 1:57:19]
1、攻击者使用闪电贷借出500万USDT,调用LibertiVault合约deposit函数进行质押,其质押逻辑会将质押的代币一部分用于兑换,然后再计算铸币数量,铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。
Poloniex禁用BNB&BEP-2代币钱包和XTZ钱包以进行维护:2月15日消息,Poloniex客户支持账号发推称,BNB&BEP-2代币钱包以及XTZ钱包已被禁用,以进行维护。钱包重新启用后将更新推文。[2021/2/15 19:49:11]
2、而兑换操作swap会调用黑客的合约,此时黑客第一次重入调用deposit,并在此函数中二次重入,向合约打入250万USDT。
Coinbase Custody支持POLY存储:金色财经报道,Coinbase Custody刚刚发推文称,现已支持Polymath(POLY)代币的存储服务。[2020/10/14]
3、二次重入结束后,合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币,第一次重入的deposit函数运行结束后,黑客又向其中打入了250万USDT。
4、此时,执行完了外层deposit函数中的兑换操作,合约又会按照250万USDT与合约USDT余额比值进行铸币。
5、问题就出在第四点,按理来说,第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数,但这里是使用的重入的形式,合约余额在最开始就已经获取了,所以参数并未改变,还是使用的原来的余额进行计算,导致给黑客铸了大量的凭证代币。
6、最后黑客移除凭证代币,归还闪电贷获利。
Beosin
企业专栏
阅读更多
金色财经
金色荐读
Block unicorn
金色财经 善欧巴
区块链骑士
Foresight News
深潮TechFlow
标签:SDTUSDTUSDPOLusdt币交易违法吗能投入吗Wrapped Staked USDTusdt币圈最新消息polygon币价
“开放和无许可的区块链将在开放的虚拟世界中发挥关键作用。……我们正处于重大技术转型的开始,Web 4.0 将彻底改变人们的日常生活.
1900/1/1 0:00:00作者:Micah Casella & Jennifer Obem;编译:火火/白话区块链关键要点:1)Sandbox 的 NFT 铸币总量(59%)、初级销售总量(52%)和活跃买家总量(22%.
1900/1/1 0:00:00作者:Nancy,PANews千倍 Memecoin BALD 被传 SBF 是幕后黑手,虽然可能是谣言,但与此同时 FTX 重组计划被确认.
1900/1/1 0:00:00不靠「奥德赛」,不靠空投造势,Coinbase 所推出的 Layer 2 网络 Base,以一个千倍涨幅的 meme 神话引爆市场,吸引了无数眼球.
1900/1/1 0:00:00作者:Jordan,PANews7月13日,谷歌“突然”宣布旗下应用商店Google Play已调整代币化数字资产(Tokenized Digital Assets)政策,这是一次重大政策转变.
1900/1/1 0:00:00"Trust but verify"(信任,但要核查),不要做“事后诸葛亮”。最厉害的 bug 都是灯下黑.
1900/1/1 0:00:00