链闻消息,慢雾安全团队针对以太坊DeFi项目PickleFinance遭受攻击,损失约2000万DAI分析称,攻击者通过调用Controller合约中的swapExactJarForJar函数时,伪造_fromJar和_toJar的合约地址,通过转入假币而换取合约中的真DAI,完成了一次攻击的过程。慢雾表示PickleFinance的Controller合约中的swapExactJarForJar函数允许传入两个任意的jar合约地址进行代币的兑换,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用户可以控制的变量,攻击者利用这个特性,将_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻击者设定的要抽取合约的DAI的数量,约2000万DAI。
慢雾:跨链互操作协议Poly Network遭受攻击并非由于网传的keeper私钥泄漏:对于跨链互操作协议Poly Network遭受攻击事件,慢雾安全团队分析指出:本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址,并非网传的是由于keeper私钥泄漏导致这一事件的发生。[2021/8/11 1:47:48]
慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
币海引路人:BTC多头趋势强烈ETH紧紧跟随交易如同攀爬,只有登上绝顶,才能享受奇观胜景;若遇难而退,中途放弃,只会与机会擦肩而过,在交易中最重要的就是要敢于出手,面对机会,果断出击.
1900/1/1 0:00:00亲爱的虎符用户:虎符合约举办的"虎符合约双十一豪赠大礼"活动已于2020年11月17日00:00圆满结束,感谢用户的大力支持!活动奖励已于本周确定邮寄地址并发放.
1900/1/1 0:00:00彤欣言币:炒比特币如何成功的交易?新手投资比特币必备三个思维!不要寻求完美交易!把握我们看好的利润!我们不可能吃到所有的利润,这个不现实,过贪则损,就是这个道理!这个市场最不缺的就是交易机会.
1900/1/1 0:00:00尊敬的虎符用户,虎符将于2020年11月22日17:00(UTC8)重磅上线COVER/USDT和COVER/ETH交易对。充值已开启,提现将于11月23日10:00(UTC8)开启.
1900/1/1 0:00:00单边,有时候伴随的就是恐惧,更准确的说是“恐高”,很多人不敢参与,是怕做到山顶,怕进去之后瀑布,但这些人却从不担心空了之后大涨,认为涨了这么多了,怎么可能一直涨?不信邪.
1900/1/1 0:00:00牛市来了,你买的币却都没有涨,那怎么办?我们在问这个问题时,本质上是在问,牛市期间该如何面对波澜起伏的行情?那今天就来好好聊聊这个问题.
1900/1/1 0:00:00