木星链 木星链
Ctrl+D收藏木星链
首页 > 币赢 > 正文

RIK:Rikkei Finance遭黑客攻击,损失已有百万美元

作者:

时间:1900/1/1 0:00:00

安全实验室监测到DeFi协议RikkeiFinance遭到黑客攻击,被盗资金中已有2600枚BNB被转入TornadoCash。

基础信息

攻击合约:

0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

0x9ae92cb9a3ca241d76641d73b57c78f1bcf0b209

攻击者地址:

0x803e0930357ba577dc414b552402f71656c093ab

恶意预言机地址:

投资管理平台Friktion为机构客户提供低担保加密贷款:金色财经报道,基于Solana的投资组合管理平台Friktion首次为机构客户推出了加密货币贷款产品。

该借贷产品将包括从初级贷款到高级贷款的分档池。初级贷款将提供11%至17%的较高年化收益率,以回报高级贷款人对贷款违约的保护。贷款池也将具有多样化的借款人,以减少交易对手的风险。高级贷款池中的贷款人可以获得8%至10%的年化收益率。(the block)[2022/11/6 12:22:15]

0xa36f6f78b2170a29359c74cefcb8751e452116f9

0x99423d4dfce26c7228238aa17982fd7719fb6d7f

Rikkei Finance与跨链预言机解决方案SupraOracles达成合作:1月4日消息,元宇宙DeFi协议Rikkei Finance与跨链预言机解决方案SupraOracles达成合作,旨在为用户带来安全的借贷系统。

据此前报道,DeFi借贷平台Rikkei Finance完成560万美元融资,HyperChain Capital、Kyber Network、Signum Capital、PNYX、X21digital.com、LD Capital、Tomochain、Kernel Ventures、Trade Coin VietNam、Coin98、Kyros Ventures (Coin68)、YBB Foundation、ArkStream Capital和Inclusion Capital等参投。[2022/1/4 8:23:58]

攻击tx:

Cardano基金会宣布Frederik Gregaard担任首任CEO:Cardano基金会最近宣布,Frederik Gregaard担任首任首席执行官(CEO),Eva Oberholzer担任增长主管。官方公告称,这两项任命是为了鼓励企业采用和鼓励在Cardano区块链上构建解决方案。(Finance Magnates)[2020/9/22]

0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492

0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44

被攻击预言机地址:

0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5

流程

攻击者的攻击流程如下:

1.攻击者调用external可见性的setOracleData()函数将预言机设置为自己的恶意预言机。

2.由于恶意预言机替换了原来的预言机,导致预言机输出的rTokens价格可以被攻击任意操控。攻击者向RBinance合约发送0.0001BNB获得4995533044307110.024rBNB。

3.由于兑换了大量的rBNB,所以攻击者借出346199.781USDC。

4.攻击者将借出的346199.781USDC兑换成776.298WBNB。

5.攻击者重复第三步和第四步操作分别借出3.033BTCB、52275.873DAI、297082.798BSC-USD、299822.459BUSD并兑换成相应的WBNB。

6.将兑换的共2571.201BNB转移到攻击者账户上。

7.最后攻击者再次调用setOracleData()还原预言机状态。

另外一次攻击的手法相同,只是先将BNB兑换成BUSD再转去RBinance获得rBUSD。

细节

问题点就在于Cointroller中的SimplePriceOracle.sol(https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code)合约,其setOracleData的可见性为external,可以被外部调用。

修改预言机前的正常价格为416247538680000000000。

将rToken0x1578的预言机修改为恶意预言机0xa36f。

设置恶意预言机后将rToken价格提升到416881147930000000000000000000000。

后续处理

攻击者将盗取的BNB分批次转入TornadoCash中。

RikkeiFinance官方称将全额补偿漏洞利用攻击中受影响的所有用户。

总结

由于合约没有对setOracleData函数的可见性进行限制,导致了攻击者可以任意修改预言机地址,从而获取了从合约中代币,所以我们在写合约时一定要严格限制函数的可见性。

标签:RIKBNBNANANCRikezaUPBNBPovo FinanceKittenFinance

币赢热门资讯
KEX:BKEX 关于上线 CAW(A Hunters Dream)并开放充值功能的公告

尊敬的用户:?????????BKEX即将上线CAW,详情如下:上线交易对:CAW/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年4月19日17:00提现功.

1900/1/1 0:00:00
Bitvito:连线十大社区,走进用户心中的币位

犹记得,在V时刻第二期直播现场,起了一点小小的“波澜”。那时,观众正聚精会神沉浸在Hyden讲解盈利加成体系的时候,偶然一瞥,发现这位小哥皮肤出奇的好,白里透红,与众不同,届时直播间画风陡然改变.

1900/1/1 0:00:00
IKA:1元体验BIKA 跟单全新体验

尊敬的BIKA用户:为吸引更多用户,推动代理商更好拓展用户,ETH-USDT合约参数先由原每张代表0.5ETH,改为每张代表0.01ETH.

1900/1/1 0:00:00
ART:关于USD Reserve (USDR)交易及提现功能即将开放的公告

亲爱的BitMart用户:USDReserve(USDR)交易及提现功能即将开放。具体各项功能开放时间请参照:充值功能:已开启交易功能:2022年04月19日16:00(USDR/USDT),2.

1900/1/1 0:00:00
数字货币:IMF:各国政府应确保有权对加密货币和传统资产实施资本管制

金色财经消息,国际货币基金组织表示,随着俄乌冲突继续引发关于逃避制裁行为的担忧,各国政府应确保自己有权对加密货币和传统资产实施资本管制.

1900/1/1 0:00:00
GAME:GameFi项目3月报:项目数量微增5%,交易量增长154%

Apr.2022,VincyDataSource:FootprintAnalytics-March2022ReportDashboard面对2、3月份紧张的国际环境.

1900/1/1 0:00:00