ABU:安全公司：Zabu Finance遭受闪电贷攻击简析，因其抵押模型与 SPORE 代币不兼容导致的_PokerSports

巴比特讯，据慢雾区情报，2021年9月12日，Avalanche上ZabuFinance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家。

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

安全公司：一种伪造成BUSD的虚假代币已被空投到1.5万个地址:9月14日消息，据安全公司HashDit的推特警报，一种伪造成BUSD的代币BUSDb已被空投到15000个不同的钱包地址，请注意安全。

该虚假代币合约为0xd0cae3cb951f69695e31885f63b26f57a940a95e。[2022/9/14 13:29:35]

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

动态 | 加密安全公司Fireblocks与加密货币流动性提供商B2C2达成合作:金色财经报道，加密安全公司Fireblocks宣布正在与加密货币流动性提供商B2C2展开合作。B2C2将部署Fireblocks以保护数十亿美元的数字资产，并确保每天超过10,000次OTC交易的安全。利用Fireblocks的API，B2C2现在可以安全、即时地与其机构客户执行大额交易。[2020/2/8]

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

声音 | 网络安全公司：在消费者不知情的计算机上挖掘加密货币的时代已成为过去:据cryptimi消息，网络安全公司Malw??areBytes近日公布了一份报告。其中显示，在消费者不知情的计算机上挖掘加密货币的行为，已急剧下降至“基本绝迹”的水平。这种攻击行为常会导致受害者计算机的性能下降，以及增加产生的热量和降低电池寿命。但报告显示，该行动现在扩展为更大，更具经济效益的行动，企业和组织成为了最佳攻击目标。全世界有300个政府和大学网站被发现在他们的服务上安装了现已不存在的CoinHive浏览器内挖掘加密货币软件的脚本，而他们并不知情。[2019/4/28]

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。

参考：

攻击合约1：0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400

攻击合约2：0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd

抵押交易：0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb

攻击交易：0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3

获利交易：0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

标签：ABUORESPORESPOAbura Farmcore币未来能涨到多少Spore FinancePokerSports

以太坊热门资讯