木星链 木星链
Ctrl+D收藏木星链
首页 > 酷币 > 正文

USD:慢雾:Harvest.Finance 被黑事件简析

作者:

时间:1900/1/1 0:00:00

2020年10月26号,据慢雾区消息HarvestFinance项目遭受闪电贷攻击,损失超过400万美元。以下为慢雾安全团队对此事件的简要分析。

1.攻击者通过Tornado.cash转入20ETH作为后续攻击手续费

2.攻击者通过UniswapV2闪电贷借出巨额USDC与USDT

慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]

3.攻击者先通过Curve的exchange_underlying函数将USDT换成USDC,此时CurveyUSDC池中的investedUnderlyingBalance将相对应的变小

慢雾:nanotron安全审计报告是伪造的:慢雾科技发推表示:团队并没有对于nanotron进行审计,项目的安全审计报告是伪造的,请注意防范风险。[2020/10/8]

4.随后攻击者通过Harvest的deposit将巨额USDC充值进Vault中,充值的同时Harvest的Vault将铸出fUSDC,而铸出的数量计算方式如下:

分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的变化将导致Vault铸出更多的fUSDC

5.之后再通过Curve把USDC换成USDT将失衡的价格拉回正常

6.最后只需要把fUSDC归还给Vault即可获得比充值时更多的USDC。

7.随后攻击者开始重复此过程持续获利

其他攻击流程与上诉分析过程类似

参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

总结:此次攻击主要是HarvestFinance的fToken(fUSDC、fUSDT...)在铸币时采用的是Curvey池中的报价(即使用Curve作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制HarvestFinance中fToken的铸币数量,从而使攻击者有利可图。

标签:USDVESTESTVESSFUSDINVESTChesterCoinVESTX

酷币热门资讯
ETH:美FINRA批准OTC Markets交易证券类数字资产

美FINRA批准OTCMarkets交易证券类数字资产金色财经2023年05月13日21:59微信扫一扫分享到朋友或朋友圈金色财经报道,本周早些时候,OTCMarkets在其财报电话会议上透露.

1900/1/1 0:00:00
LUS:PlusToken案一审判处16名被告人两年至十一年不等有期徒刑

江苏省盐城经开区检察院提起公诉的PlusToken网络案一审结果已公开:法院以组织、领导活动罪判处陈某、丁某、彭某等16名被告人两年至十一年不等的有期徒刑,并处罚金.

1900/1/1 0:00:00
数字货币:IMF高管阿德里安:现阶段全球仍需宽松政策支持,数字人民币优先聚焦国内

据第一财经10月18日消息,国际货币基金组织货币和资本市场部门主管阿德里安近日在接受记者专访时表示,现阶段政策支持仍属必要,过早撤出是危险的,但在疫情得到控制后,流动性支持可逐步退出.

1900/1/1 0:00:00
加密货币:报告:欧洲新的加密规则给DeFi带来了生死存亡的问题

据Cointelegraph消息,行业监管顾问机构XReg咨询公司10月5日发布了一份报告称,欧盟委员会新提出的加密货币法规对DeFi行业构成了特定风险.

1900/1/1 0:00:00
okex:OKEx投研:短期涨势虽在但已至强阻力区,后期重点留意10600支撑有效性

据OKEx永续合约(BTC/USDT)数据显示:比特币自9月9日第五次下探9900一线支撑后一路反弹向上,最终打破此前的下跌局势并形成短期上涨格局,目前这种格局尚未破坏.

1900/1/1 0:00:00
NFT:NFT 碎片化协议 Tessera 与 NFT 市场 Escher 将在未来几周内结束所有业务

NFT碎片化协议Tessera与NFT市场Escher将在未来几周内结束所有业务ForesightNews2023年05月12日15:21微信扫一扫分享到朋友或朋友圈ForesightNews消.

1900/1/1 0:00:00