月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 以太坊 > 正文

ABU:安全公司:Zabu Finance遭受闪电贷攻击简析,因其抵押模型与 SPORE 代币不兼容导致的_PokerSports

作者:

时间:1900/1/1 0:00:00

巴比特讯,据慢雾区情报,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家。

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

安全公司:一种伪造成BUSD的虚假代币已被空投到1.5万个地址:9月14日消息,据安全公司HashDit的推特警报,一种伪造成BUSD的代币BUSDb已被空投到15000个不同的钱包地址,请注意安全。

该虚假代币合约为0xd0cae3cb951f69695e31885f63b26f57a940a95e。[2022/9/14 13:29:35]

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

动态 | 加密安全公司Fireblocks与加密货币流动性提供商B2C2达成合作:金色财经报道,加密安全公司Fireblocks宣布正在与加密货币流动性提供商B2C2展开合作。B2C2将部署Fireblocks以保护数十亿美元的数字资产,并确保每天超过10,000次OTC交易的安全。利用Fireblocks的API,B2C2现在可以安全、即时地与其机构客户执行大额交易。[2020/2/8]

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

声音 | 网络安全公司:在消费者不知情的计算机上挖掘加密货币的时代已成为过去:据cryptimi消息,网络安全公司Malw??areBytes近日公布了一份报告。其中显示,在消费者不知情的计算机上挖掘加密货币的行为,已急剧下降至“基本绝迹”的水平。这种攻击行为常会导致受害者计算机的性能下降,以及增加产生的热量和降低电池寿命。但报告显示,该行动现在扩展为更大,更具经济效益的行动,企业和组织成为了最佳攻击目标。全世界有300个政府和大学网站被发现在他们的服务上安装了现已不存在的CoinHive浏览器内挖掘加密货币软件的脚本,而他们并不知情。[2019/4/28]

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。

参考:

攻击合约1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400

攻击合约2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd

抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb

攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3

获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

标签:ABUORESPORESPOAbura Farmcore币未来能涨到多少Spore FinancePokerSports

以太坊热门资讯
以太坊:以太坊钱包Gnosis因NFT功能被Apple应用商店屏蔽_ETH

据Decrypt9月15日消息,以太坊钱包Gnosis的产品开发负责人LukasSchor表示,该公司的移动应用程序被Apple屏蔽,因为它可以显示NFT.

1900/1/1 0:00:00
比特币:比特币亿万富翁Tim Draper和Winklevoss兄弟支持Colossal公司复活猛犸象计划_pit币继续销毁吗

据Cointelegraph9月15日消息,比特币亿万富翁TimDraper和Winklevoss双胞胎兄弟支持一家名为“Colossal”的初创公司,该公司旨在复活猛犸象,以应对全球气候变化.

1900/1/1 0:00:00
区块链:无锡发布加快区块链技术应用和产业发展实施意见_区块链的未来发展前景ppt

据网信无锡微信公众号消息,近日,无锡市现代产业发展领导小组办公室下发了《关于印发<无锡市关于加快区块链技术应用和产业发展的实施意见>的通知》.

1900/1/1 0:00:00
ECH:斯坦福万字研讨:区块链将帮助监管科技突破壁垒,刺激金融市场的监管活力_区块链

原文标题|《金融市场监管的活力:利用监管技术》原文作者|?格奥尔格·林格,法律与金融学教授编译整理|白泽研究院文前注解:近几年,合规科技和监管科技先后成为金融领域的新热词.

1900/1/1 0:00:00
比特币:摩根大通CEO:我真的不关心比特币,但它将受到监管_AYSNC币

据《经济时报》9月22日报道,摩根大通任职时间最长的首席执行官JamieDimon在接受《印度时报》在线采访时,分享了对全球和印度经济形势的评估.

1900/1/1 0:00:00
区块链:腾讯申请“贷款资质确定方法”专利,借区块链技术确定机构资质_LIBRA

巴比特讯,据天眼查App显示,腾讯科技有限公司日前申请“一种贷款资质确定方法、装置、设备及存储介质”发明专利,涉及区块链技术领域,申请号为CN202010238015.7.

1900/1/1 0:00:00