木星链 木星链
Ctrl+D收藏木星链
首页 > Gate.io > 正文

BLOCK:慢雾分析:BSC 上的 DeFi 项目 EGD Finance 遭黑客攻击,致其池子中资金被非预期取出

作者:

时间:1900/1/1 0:00:00

链捕手消息,据慢雾区分析,BSC上的DeFi项目EGDFinance项目遭受黑客攻击,导致其池子中资金被非预期的取出。慢雾安全团队对此进行分析:

慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

1.由于EGD_Finance合约中获取奖励的claimAllReward函数在计算奖励时会调用getEGDPrice函数来进行计算EGD的价格,而getEGDPrice函数在计算时仅通过pair里的EGD和USDT的余额进行相除来计算EGD的价格

慢雾安全提醒:近期有黑客团伙进行钓鱼攻击 目前已经有部分交易平台遭受攻击:据慢雾区伙伴无极实验室消息,近期有黑客团伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 结合 ms-officecmd 的远程代码漏洞进行钓鱼攻击,攻击者通过构造恶意的 exploit 的链接发送给交易平台的内部人员,并诱导内部人员点击恶意的链接,从而控制内部人员的电脑,来实施对交易平台的盗币攻击。目前已经有部分交易平台遭受攻击,请自查是否有访问过如下的链接或 IP 地址。

攻击者相关信息:

链接: https://giantblock[.]org,https://financialtimes365[.]com

C&C: plusinfo24[.]com

IP 地址: 162.213.253.56[2022/2/11 9:45:23]

2.攻击者利用这个点先闪电贷借出池子里大量的USDT,使得EGD代币的价格通过计算后变的很小,因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多,从而导致池子中的EGD代币被非预期取出

声音 | 慢雾预警:攻击者喊话所有链上伪随机数(PRNG)都可被攻击:攻击者 floatingsnow 向自己的子账号 norealrandom、dolastattack 转账并在 memo 中喊话:hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num

从账号名称和 memo 可知攻击者对目前 EOS DApp 链上随机数方案了如指掌,攻击者指出 tapos_block_prefix/tapos_block_num 均不安全,并提议 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]

本次事件是因为EGD_Finance的合约获取奖励时计算奖励的喂价机制过于简单,导致代币价格被闪电贷操控从而获利。参考攻击交易链接可点击此处。

标签:BLOCKLOCKBLOCLOCBlockMonstersSUNBLOCKTERMINALBlockchain Brawlersblockchainapp

Gate.io热门资讯
LAYER:IOBC Capital:LayerZero 定义 Omnichain 互联互通新标准

作者:?IOBCCapital互联互通是一直没被解决好的刚需在区块链中,如果把每一条区块链比喻成一个独立的账本,不同账本之间没有建立起互联互通,各个链上的数据和用户资产是处于相对独立的状态.

1900/1/1 0:00:00
NFT:每周要闻精选 | Facebook、Instagram 已支持展示 NFT;Arbitrum One 主网已迁移至 Nitro

整理:润升,链捕手重要资讯1、Meta已正式支持在Facebook、Instagram上展示NFT8月30日消息,Meta宣布已支持在Facebook上展示NFT.

1900/1/1 0:00:00
WBNB:慢雾:Solana 被盗事件仍有疑点,60% Phantom 被盗钱包原因不明

链捕手消息,慢雾今日发布对Solana攻击事件的分析中指出,初步筛查出30%用户被盗原因为SlopeWallet(Android,Version:2.2.2)的sentry服务存在私钥泄露.

1900/1/1 0:00:00
CEL:Celcius CEO近日售出约2.8万美元CEL,为Celcius破产后首笔交易

链捕手消息,8月10日,CelsiusNetwork首席执行官AlexMashinsky链上地址于上周六和周二在去中心化交易平台UniSwap上的多笔交易中以17475枚CEL交换了价值2824.

1900/1/1 0:00:00
WEB:有必要告别加密世界乌托邦?对 Web3 原生身份灵魂绑定的四点思考

作者:王峰,小隐于链来源:MarsBit熊市多学习,偶写随笔。昨晚终于抽出时间,把今年五月份的一份区块链领域内非常重要的论文基本读完.

1900/1/1 0:00:00
数字货币:华尔街日报:资产下跌 0.3% 或将导致 Tether 在技术上无力偿债

链捕手消息,《华尔街日报》近日的一篇文章声称,目前Tether拥有价值677.4亿美元的资产和价值675.4亿美元的负债,两者仅相差1.91亿美元.

1900/1/1 0:00:00