链捕手消息,据慢雾区分析,币安智能链DeFi项目AutoSharkFinance被黑,导致代币价格闪崩。慢雾团队针对攻击过程分析如下:
由于AutoShark策略池的机制,攻击者需要事先存入一定数量的LP代币到策略池中,为后续攻击做准备,所以整个攻击其实分成了2步,这里主要分析的是第2笔的攻击交易。
攻击步骤如下:
1.攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB;
动态 | 慢雾 TradingView 0day 漏洞预警:据 Joinsec 情报及慢雾安全团队的深入分析,通用 K 线展示 JS 库 TradingView 再次发现两个 0day 漏洞,可绕过 Cloudflare 及浏览器 CSP 防御机制,并且不会在 Web 服务上留下日志。第一个 0day 漏洞如果被利用成功会导致用户帐号权限被盗、交易恶意操作等,从而造成资产损失;第二个 0day 漏洞可以实施钓鱼攻击盗取用户账号密码,也可在特殊场景下绕过目标 Web 服务的 CSRF 防御。TradingView 在数字货币交易等平台被非常广泛地应用,属于商业软件,版本分布未知。鉴于历史披露及新发现的 0day 漏洞相关场景来看,我们强烈建议使用 TradingView 的项目方保持警惕,注意用户的异常反馈。细节我们会在合适时机下披露。[2019/3/1]
2.将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK,同时池中WBNB的数量增多;
声音 | 慢雾预警:一新私有矿池今日出现算力暴增迹象:慢雾安全团队对 ETC 51% 攻击持续监控中发现:一个新私有矿池(0x58b3cabd0c5c777da2c1c4d4f7ecc8afe5674f20)正在迅速获得更大的总网络算力份额,这个新私有矿池虽然在 ETC 51% 攻击之前就已经存在,但在攻击后,随着发动 51% 攻击的私有矿池(0x3ccc8f7415e09bead930dc2b23617bd39ced2c06)的消失,这个新的私有矿池的算力开始逐日增加,今天出现暴增迹象。
出于谨慎目的,慢雾安全团队建议任何人进行 ETC 交易时必须等待至少 400 个区块确认(这个值甚至需要更高),相关数字货币交易平台继续保持警惕状态。[2019/1/11]
3.将第1步和第2步的WBNB和SHARK打入到SharkMinter中,为后续攻击做准备;
动态 | 慢雾澄清:EOS 账户 crazycapital 并未攻击DApp:今日慢雾发消息称EOS 账户 crazycapital 疑似在同时攻击数个游戏 DApp,账户 EOS 余额飞速增长,游戏胜率惊人的高。 随后慢雾安全团队更新了动态,表示 crazycapital 的行为不是攻击而是大户账号疯狂玩 dice ,可以解除攻击预警。对此慢雾团队表示感谢各位配合应急,虽然此事属于乌龙事件但是这种突然的异常还是要保持警惕。[2018/12/6]
4.调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励SHARK代币,这部分操作在SharkMinter合约中进行操作;
5.SharkMinter合约在收到用户收益的LP手续费之后,会将LP重新拆成对应的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;
6.由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中,SharkMinter合约在移除流动性后再添加流动性的时候,使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加,这部分余额包含攻击者在第3步打入SharkMinter的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中;
7.SharkMinter合约在获取到手续费的数量后,会通过tvlInWBNB函数计算这部分手续费的价值,然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候,使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中,Panther池中WBNB的数量已经非常多,导致计算出来的LP的价值非常高;
8.在LP价值错误和手续费获取数量错误的情况下,SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币;
9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。
本文来自PANnews。最近,Fantom上火热的高APY挖矿让很多追求高收益的DeFi农民们跨链前往掘金,虽然大量用户反映跨链时间久,操作卡顿,但还是不影响其热度.
1900/1/1 0:00:00链捕手消息,去中心化衍生品协议?ShieldProtocol获200万美元融资,A&TCapital和HashKeyCapital领投.
1900/1/1 0:00:00据链捕手不完全统计,4月19日到4月25日期间,区块链行业共发生25起公开投融资事件,方向主要集中在DeFi、NFT板块.
1900/1/1 0:00:00链捕手消息,欧易OKEx官方公告宣布上线Galatasaray(GAL)和Trabzonspor(TRA)FanToken,现已开放充值.
1900/1/1 0:00:00Layer2协议MaticNetwork最近二级市场吸引了不少用户关注,代币MATIC近7日上涨66%.
1900/1/1 0:00:00本文来自Unitimes独角时代,原文标题:《以太坊Gas费太高?6大方法教你如何省Gas!》,作者:WilliamM.Peaster,编辑:南风.
1900/1/1 0:00:00
木星链