木星链 木星链
Ctrl+D收藏木星链

HST:损失200万美元 DeFi 协议0vix Protocol遭受闪电贷攻击是怎么回事

作者:

时间:1900/1/1 0:00:00

2023年4月28日,据Beosin-EagleEye态势感知平台消息,0vixProtocol项目遭受闪电贷攻击,损失约为200万美元。0VIX在Twitter上证实了此次攻击,并表示“正在调查当前情况”。

Beosin安全团队第一时间对事件进行了分析,结果如下。

Zigzag:因UST脱锚导致自有基金做市商损失2000万美元:6月24日消息,去中心化交易协议Zigzag官方发文对代币经济模型进行详细介绍,57%代币用于金库,30%代币用于创始团队,10%用于保险基金,2%用于IDO。同时该项目表示,在UST脱锚事件中,其自有基金将UST与ETH、WBTC等币种组LP,导致其做市商亏损2000万美元。

为了弥补其损失,该团队将10%的代币存入保险基金,并预计在2年内进入流动市场。[2022/6/24 1:29:51]

事件相关信息

攻击交易

Circle在6月因电子邮件欺诈损失200万美元:金色财经报道,支付公司Circle在周四的监管文件中称,Circle在上个月发生的一起“事件”中因电子邮件欺诈损失了 200 万美元。Circle 表示,电子邮件欺诈事件并未影响客户资金和账户,Circle的“信息系统”仍然安全。未具名的欺诈者在2021年6月窃取了200万美元的“公司自有资金”。[2021/7/9 0:38:18]

0x10f2c28f5d6cd8d7b56210b4d5e0cece27e45a30808cd3d3443c05d4275bb008

攻击者地址

0x702ef63881b5241ffb412199547bcd0c6910a970

攻击合约

0x407feaec31c16b19f24a8a8846ab4939ed7d7d57

以太坊菠菜游戏EtherCrash冷钱包被盗 损失250万美元:近日,网络犯罪情报公司HudsonRock首席技术官AlonGal发推表示,10月27日,自称“以太坊最成熟、规模最大的菠菜游戏”EtherCrash冷钱包被盗,损失约250万美元,疑似为内部人员所为。据悉,EtherCrash已在Discord发布通知,通知中提到EtherCrash冷钱包被盗并且有两笔巨额提款。EtherCrash表示将会对用户的财产损失进行赔偿,但由于损失较为严重所以需要一段时间。[2020/10/30 11:13:16]

被攻击合约

0x738fe8a918d5e43b705fc5127450e2300f7b08ab

攻击流程

1.第一步,攻击者通过闪电贷借出大量的资金,为后面的攻击做准备。

动态 | 英国200余人因数字货币损失210万英镑:据WebFG报道,今年6月至7月,英国有200多人因数字货币损失金额合计210万英镑,平均每人损失1万英镑。[2018/8/11]

2.第二步,攻击者铸造凭证币,已允许借出其他资产。

3.第三步,攻击者向vGHST地址转入1656000枚GHSTToken。

彭博社:加密货币基金今年已损失23% 至少有九个加密货币基金已关闭:据彭博社报道,去年随着比特币的崛起,出现了超过150个加密货币基金,目前这些基金的需求和利润正在急速减少。目前至少有九个基金已经关闭,其中一些基金,比如Crowd Crypto Fund删除了其网站,Twitter和Facebook帐户。去年一些基金的收益上涨了超过1000%。而根据Eurekahedge加密货币对冲基金指数,今年的情况与此前不同,这些资金的回报已经下降了23%。据Autonomous Research LLP全球金融技术战略总监Lex Sokolin的说法,截至年底,所有的加密基金中,可能有10%可能会关闭。[2018/4/3]

4.后续清算黑客的借贷头寸,清算借入的头寸用于取回原始抵押品。

5.最后攻击者偿还闪电贷。

漏洞分析

本次攻击黑客利用了VGHSTOracle预言机漏洞,因为VGHSTOracle预言机获取的价格是通过vGHST合约的convertVGHST函数去获取的,而convertVGHST函数中的计算依靠于合约中的GHSTToken数量。

在操控价格前ghst为1038332409246369136,如下图:

攻击者向vGHST地址转入1656000枚GHSTToken后,ghst为1785061331510841538,如下图:

由于抬高了价格,已至于黑客可以清算借入的头寸用于取回原始抵押品。

资金追踪

截止发文时,攻击者通过跨链协议从matic转移到以太坊上,目前被盗资金存放在:

https://etherscan.io/address/0x702Ef63881B5241ffB412199547bcd0c6910A970。BeosinKYT反分析平台正在对被盗资金进行监控。

总结

针对本次事件,Beosin安全团队建议:合约开发时,因避免预言机被操控,建议使用更加安全的预言机来预言价格。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:HSTGHSTETHCLEGHSTHighstreetGETHMiracle Token

比特币交易所热门资讯
SUI:社区都在骂Sui 那到底买不买?

从去年开始炒的Sui终于发币了,二级市场比较关心Suitoken估值,这部分可以参考「SuiToken发售在即,简析估值及IEO参与方式」.

1900/1/1 0:00:00
ROLL:Rollups:以太坊的下一代扩容方案

区块链被誉为革命性技术,但目前还面临着三大痛点:安全、去中心化、可扩展性。以太坊作为最著名的区块链之一,为了确保安全和去中心化,可扩展性一直是其不得不面对的挑战.

1900/1/1 0:00:00
人工智能:巴比特 | 元宇宙每日必讀:虛擬数字人是否享有著作權或鄰接權?杭州互聯網法院判決首例涉“虛擬数字人”侵權案

摘要:近日,杭州互联网法院就首例涉“虚拟数字人”侵权案作出了一审判决。本案判决结合人工智能技术应用及虚拟数字人发展现状,从权利主体、客体、权利归属等多层面分析虚拟数字人在现有《著作权法》框架下不.

1900/1/1 0:00:00
以太坊:为什么V神没去香港的万向大会 而去黑山?

近日在HongKongWeb3大会的举办中,我们看到香港的繁华和焕发的同时,也有人不禁发问:「为什么V神没去香港的万向大会?」毕竟我们都知道以太坊和香港Web3大会的主办方万向有着深厚渊源:在以.

1900/1/1 0:00:00
比特币:加拿大监管升级 一览主流加密交易平台去留

今年?2?月?22?日,考虑到?Voyager、Celsius、FTX?等一系列破产事件,加拿大证券管理局宣布,在加拿大运营的加密资产交易平台必须在?30?天内提供加强投资者保护的预注册承诺.

1900/1/1 0:00:00
AGI:一文了解a16z的“L2野心”Magi

在Coinbase推出基于OPStack的全新以太坊L2网络Base之后,a16z也出手了。4月19日晚间,a16zCrypto宣布推出名为“Magi”的二层Rollup客户端解决方案,无独有偶.

1900/1/1 0:00:00