北京时间2022年4月15日11点18分,CertiK审计团队监测到RikkeiFinance被攻击,导致约合701万元人民币资产遭受损失。
由于缺乏对函数`setOracleData`的访问控制,攻击者将预言机修改为恶意合约,并获取了从合约中提取USDC、BTCB、DAI、USDT、BUSD和BNB的权限。攻击者随后将这些代币全部交易为BNB,并通过tornado.cash将这些BNB转移一空。
CertiK:PorkiesNFT项目Discord服务器遭入侵:金色财经报道,据CertiK官方推特发布消息称,PorkiesNFT项目Discord服务器遭入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/8 22:25:40]
攻击步骤
①攻击者向rBNB合约发送了0.0001个BNB以铸造4995533044307111个rBNB。
②攻击者通过公共函数`setOracleData()`将预言机设置为一个恶意的预言机。
③由于预言机已被替换,预言机输出的rTokens价格被操纵。
④攻击者用被操纵的价格借到了346,199USDC。
⑤攻击者将步骤4中获得的USDC换成BNB,并将BNB发送到攻击合约中。
CertiK:UN token上有一个恶意的闪电贷款,请大家保持警惕:金色财经报道,CertiK检测到UN token上有一个恶意的闪电贷款,由于燃烧机制缺陷,该漏洞有可能被利用,请大家保持警惕。Bsc: 0x1aFA48B74bA7aC0C3C5A2c8B7E24eB71D440846F 。[2023/6/6 21:20:04]
⑥攻击者重复步骤4和5,耗尽BTCB、DAI、USDT和BUSD。
⑦攻击者使用函数`setOracleData()`再次改变预言机,还原了该预言机的状态。
合约漏洞分析
SimplePrice预言机?:?
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
Ceramic推出ComposeDB,优化开发人员访问构建功能:3月9日消息,去中心化内容计算网络Ceramic发布ComposeDB,使开发人员能够更轻松地在网络上进行构建。ComposeDB的推出是使开发人员可以轻松访问该网络的关键一步,使其他项目能够使用它来存储自己的数据或访问已经存在的数据。
据悉,Ceramic是一个开放网络,专为web3应用程序设计,用于存储任何人都可以访问的数据。[2023/3/9 12:52:18]
Cointroller:?https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code
资产地址:?Rtoken0x157822ac5fa0efe98daa4b0a55450f4a182c10ca
动态 | NBA篮球运动员Spencer Dinwiddie对联盟拒绝将其续约合同代币化的决定感到失望:NBA篮球运动员Spencer Dinwiddie在社交平台中对NBA以违反政策为由,拒绝将其续约合同代币化的决定感到失望。他表示联盟官员可能对他的要求存在误解,并补充说他愿意沟通解决这个问题。据此前消息,Dinwiddie希望通过与加密公司Paxos合作将他三年期3450万美元合同的第一年代币化,来筹集1350万美元。Dinwiddie还宣布推出一个名为Dream Fan Shares的区块链新平台,将其作为一种创新的投资工具,让运动员和娱乐界人士能够签署他们的职业融资合同。[2019/9/29]
新的预言机:?
0xa36f6f78b2170a29359c74cefcb8751e452116f9
Hanbitco参加EOS的Blockchain Producer竞选:韩国虚拟货币交易所Hanbitco称参加EOS的Blockchain Producer竞选。此为韩国虚拟货币交易所首次参加EOS的 Blockchain Producer竞选。[2018/5/24]
原始价格:416247538680000000000
更新后的价格:416881147930000000000000000000000
RikketFinance是利用Cointroller中的SimplePrice预言机来计算价格的。然而,函数`setOracleData()`没有权限控制,也就是说它可以被任何用户调用。攻击者使用自己的预言机来替换原有的预言机,并将rToken的价格从416247538680000000000提升到4168811479300000000000000。
资产去向
攻击者在两次交易中获得了2671枚BNB。攻击者已使用tornado.cash将所有的代币进行了转移。
其他细节
漏洞交易:
●?https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44
●?https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
相关地址:
●攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻击者合约:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●恶意预言机:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻击者合约:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●恶意预言机:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●被攻击预言机地址:
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
写在最后
该次事件可通过安全审计发现相关风险。CertiK的技术团队在此提醒大家,限制函数的访问权限是不可忽略的一步。
标签:CERCOMBSCSCSCAsia Influencer PlatformCompound Dairam币bscSCSC价格
SeeleN生态项目EVERISLAND正式公布,这是SeeleN生态首个接入的游戏项目。至此,SeeleN在GameFi领域正式迈出了第一步.
1900/1/1 0:00:004月20日,腾讯动漫十年限定数字藏品开启预约,并定于4月24日正式公开发售。这是腾讯动漫APP首次作为发售平台,对数字藏品领域的一次探索,也为延长IP价值链、拓展IP收藏意义提供了新思路.
1900/1/1 0:00:00金色晨讯 | 4月20日隔夜重要动态一览:21:00-7:00关键词:网络安全、区块链服务网络、数字代币税收指南 1.人民日报:强化区块链等技术攻关促进新兴产业培育.
1900/1/1 0:00:00隐私权每个人的基本权利。1993年,埃里克·修斯在其著名的《朋克宣言》开头变提出:Privacyisnecessaryforanopensocietyintheelectronicage.Pri.
1900/1/1 0:00:00前言进入2022年,关于元宇宙的讨论从质疑转变为认可,无论是技术、市场,还是政策,都逐渐形成合力,积极推动元宇宙走向成熟.
1900/1/1 0:00:00金色相对论 | 长虹康红娟:区块链的内涵在于将区块链的技术特征真正在产业发生效益:在今日举行的金色相对论中,针对“国家、企业、个人及如何协同促进区块链产业的健康落地”的问题.
1900/1/1 0:00:00
木星链