木星链 木星链
Ctrl+D收藏木星链
首页 > Filecoin > 正文

VAULT:慢雾MistTrack:DeFi项目Pickle Finance pDAI池被盗资金再次发生异动,多次使用Uniswap进行兑换

作者:

时间:1900/1/1 0:00:00

据慢雾MistTrack监测信息显示,2020-11-22攻击picklepDAI池的黑客地址继1月8日异动后,再次于1月14日发生异动。此前黑客地址转移了1500万DAI到五个新地址,现除了地址5,其余四个地址均发生异动,其中地址1和地址2分别向另一个地址3转入400万DAI。除此之外,慢雾MistTrack监测到1月9日、11日,黑客均向地址3分别转入176万DAI、300万DAI,紧接着地址3于当天通过Uniswap、1inch将一部分DAI兑换成CORN或COMP,另一部分DAI转到地址1、地址2。

慢雾:苹果发布可导致任意代码执行的严重漏洞提醒,请及时更新:7月11日消息,慢雾首席信息安全官23pds发推称,近日苹果发布严重漏洞提醒,官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行,据信这个已经存在被利用的情况,任意代码危害严重,请及时更新。[2023/7/11 10:47:05]

目前地址1有1亿9千万cDAI,地址2有4亿3千万cDAI,地址3有32万DAI,地址5有400万DAI。

慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:

1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。

2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。

3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB

4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。

5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。

6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。

7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。

此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]

声音 | 慢雾科技余弦:所有数字货币项目方应完整review所有第三方模块:据IMEOS报道,慢雾科技余弦提醒所有数字货币相关项目(如交易所、钱包、DApp 等)都应该强制至少一名核心技术完整 review 一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。供应链攻击不计代价,数字货币依然炙手可热。

比如最新发现的: Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]

标签:VAULTULTDAIBNBSakai VaultadultchainDAIQ币DecentraBNB

Filecoin热门资讯
ZKS:ZKSwap已经完成Layer2系统的第一次升级

ZKSwap在主网发布后,平稳运行,部署在以太坊Layer1的智能合约和Layer2系统都如期安全运行.

1900/1/1 0:00:00
ZKS:ZKSwap官方:因Uniswap流动性添加问题,如果以超过1 USDT价格购买可联系官方退回

Layer2去中心化交易所ZKSwap今日首发Uniswap和Gate.io,官方表示,因为有人通过脚本一直在刷交易,导致Uniswap添加流动性出了一点问题,第一次添加流动性的价格比较高.

1900/1/1 0:00:00
CHA:Charged Particles完成75万美元预种子轮融资,The LAO领投

融合DeFi及NFT的协议ChargedParticles宣布已完成75万美元预种子轮融资,本轮融资由TheLAO领投.

1900/1/1 0:00:00
RIDGE:Bridge Mutual和AllianceBlock合作向DeFi提供合规保险

面向数字资产的点对点自由保险平台BridgeMutual已与Layer2协议AllianceBlock达成合作.

1900/1/1 0:00:00
GEM:Gemini交易所认为FinCEN“拟议规则”存在三大缺陷

Gemini交易所致函美国财政部金融犯罪执法网络(FinCEN),要求对涉及“可兑换虚拟货币”(“CVC”)或“具有法定投标地位的数字资产”(“LTDA”)的某些交易的要求的提议的回复期延长.

1900/1/1 0:00:00
比特币:调查:男性、年轻人和城市居民对比特币熟悉程度更高

MorningConsult的调查数据显示,至少到目前为止,比特币还没有成为一个不平衡的金融体系中的平衡器:在美国,男性、年轻人和城市居民可能比女性、老年人和郊区及农村居民更熟悉加密货币.

1900/1/1 0:00:00