摘要:PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到重入攻击,造成价值770万美元的损失。
近日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击(Re-entrancyattack),造成价值770万美元的ETH和DAI的损失。
重入攻击是以太坊智能合约上最经典的攻击手段之一,著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉,损失价值5000万美元以太币。
自今年4月起,DeFi项目频遭重入攻击。4月18日,黑客利用Uniswap和ERC777标准的兼容性问题缺陷实施重入攻击;4月19日,Lendf.Me也遭到类似重入攻击;11月14日,黑客利用Akropolis项目的SavingsModule合约在处理用户存储资产时存在的某种缺陷连续实施了17次重入攻击,损失203万枚DAI。
区块链房产科技初创公司HousAfrica完成40万美元融资:金色财经报道,区块链房产科技初创公司HousAfrica宣布完成40万美元融资,其支持者包括Future Africa、SSE Angel Network (SSEAN)、ARM Labs、CV VC、Startupbootcamp Afritech、Niche Capital、Rebel Seed Capital等。HouseAfrica为房地产开发商及其客户提供房地产数字化和透明度工具,该公司的旗舰产品Sytemap利用专有的区块链和地图技术创建私人土地登记将房地产项目站点地图数字化,新资金将用于深化技术开发并扩大采用率及其团队规模。(techeconomy)[2023/3/25 13:26:11]
北京时间2020年11月17日,PeckShield监控到稳定币OUSD遭到重入攻击。OUSD是OriginProtocol推出的一种与美元挂钩的ERC-20稳定币,用户可通过将基础稳定币存入Origin智能合约来铸造OUSD稳定币,之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作,为OUSD持有者赚取回报。
珠宝巨头TOUS提交涉及NFT的商标申请:金色财经报道,据美国专利商标局官方披露信息显示,珠宝巨头TOUS已提交了一份涉及NFT的商标申请,其中提到该公司计划在虚拟环境中提供的在线零售店服务,包括实物商品和虚拟商品,即服装、鞋类、头饰、时尚配饰、眼镜、化妆品、珠宝和手袋,同时还将为数字服装、鞋类、头饰、时尚配饰、眼镜、化妆品、珠宝和手提包的买家和卖家提供一个在线市场,并通过NFT进行认证。[2023/3/16 13:07:35]
重入攻击重现凭空创造2050万枚OUSD
PeckShield通过追踪和分析发现,首先,攻击者从dYdX闪电贷贷出70,000枚ETH;
随后,在UniswapV2中先将17,500枚ETH转换为785万枚USDT,再将所贷剩余的52,500枚ETH转换为2099万枚DAI;
创业者会员社区Launch House完成1200万美元A轮融资,a16z领投:金色财经报道,创业者会员社区 Launch House 宣布完成1200 万美元 A 轮融资,a16z领投,本轮融资的其他投资者包括 Creative Arts Agency 联合创始人 Michael Ovitz、6th Man Ventures 投资者兼 The Block 创始人 Mike Dudas、加密播客 Bankless 联合主持人 Ryan Sean Adams 等。
Launch House是硅谷创业者社区 hacker house的改进版,有抱负的企业家申请为期一个月的“驻留计划”之一,主题包括“Web 3”、“元宇宙”或“女性创始人”,申请通过后,创业者会被邀请住在纽约市或洛杉矶的时髦住宅中,Launch House 还支持通过虚拟空间Gather的虚拟群组进行互动。a16z 普通合伙人 Andrew Chen 将远程工作、Z 世代的崛起、初创公司筹款新趋势列为推动 Launch House 进入“新分布式硅谷的第三空间”的因素。(coindesk)[2022/2/2 9:26:48]
接下来,攻击者分四次铸造OUSD稳定币:
YouSwap新增BUCC单币挖矿:据官方消息,YouSwap将于9月16日15:00(UTC+8)于HECO链矿池2.0区新增开启BUCC单币挖矿,用户可以通过质押BUCC挖BUC。BUC是一条商业联盟生态链 。截至9月16日13:00,YouSwap累计交易总额达137,102,781 USDT,TVL达1.29亿美金,累计挖矿总产值2,448,912USDT。[2021/9/16 23:29:29]
第一次通过mint函数铸造OUSD时,攻击者确实在Origin智能合约中存放了750万枚USDT,并获得750万枚OUSD;
第二次通过mintMultiple多种稳定币函数铸造OUSD时,攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”,并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中,此时智能合约收到2050万枚DAI,在尝试接收0枚假“稳定币”时,攻击者利用恶意合约进行劫持,在智能合约正常启动铸造2050万枚OUSD之前,调用mint函数,先恶意增发了2050万枚OUSD,此次恶意增发由VaultCore合约调用rebase函数实施。
值得注意的是,为顺利实施劫持,攻击者在上述mint函数调用时,真金白银地存入了2,000枚USDT,同时获得第三次铸币2,000枚OUSD。随后,调用oUSD.mint函数第四次铸造2050万枚OUSD。
rebase指代币供应量弹性调整过程,即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制,即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时,攻击者共获得2800.2万枚OUSD,包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase函数,攻击者所获得的OUSD总计上涨至33,269,000枚。
最后,攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC;再在Uniswap中将1045万枚USDT兑换为22,898枚ETH,将390万枚USDC兑换为8,305枚ETH,将190万枚DAI兑换为47,976枚ETH,共计79,179枚ETH,并将其中70,000枚ETH归还到dYdX闪电贷中。
据PeckShield统计,攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI,合计770万美元。
对于次攻击事件,OriginProtocol官方回应称,正在积极采取措施,以期收回资金。
随着DeFi生态的蓬勃发展,其中隐藏的安全问题也逐渐凸显,由于DeFi相关项目与用户资产紧密相连,其安全问题亟待解决。
对此,PeckShield相关负责人表示:“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’,其整体安全性环环相扣,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”
作者:PeckShield;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com
标签:USDOUSD稳定币USD币USD价格OUSD价格OUSD币为什么换稳定币DAI稳定币是由哪个国家提出的铸造稳定币
来源:新浪财经 高盛:将Robinhood(HOOD.O)评级下调至卖出:4月8日消息,高盛表示,将Robinhood(HOOD.O)评级下调至卖出.
1900/1/1 0:00:00为何此类局能够屡屡得手?网络平台对此有无监管责任?市民又该如何防?连日来,记者展开调查采访。事件:投资“数字货币”女子20余万元“打水漂”家住西安北郊的李女士是网络局的受人之一.
1900/1/1 0:00:00导语: 中本聪发起比特币的初衷便是为了对抗法币世界无休止的增发和贬值,2020年11月,以比特币为代表的光明使者与法币世界黑暗势力的决战又一次进入高潮.
1900/1/1 0:00:002020年12月12日,星期六,富艺斯联同Bacs&Russo举办“心跳加速纽约钟表拍卖会”.
1900/1/1 0:00:00国际市场营销=市场营销的理论体系{营销战略+4PS}+国际市场的研究视角{国际、全球}。国际市场营销:是国内市场营销的延伸与扩展,是指企业在一国以上从事经营与销售活动.
1900/1/1 0:00:00游戏平台和发行商Xterio将推出NFT市场:金色财经报道,游戏平台和发行商Xterio在X平台上表示,Xterio决定推出一个NFT市场,拥护创作者,重视他们的创作,预计将在未来几周内上线.
1900/1/1 0:00:00