金色财经报道,安全公司慢雾发布上周安全报告(2023年12月10日-12月16日),预计损失总额:8,428,033美元。关键事件:
1.Flooring Protocol Hack:针对与合约漏洞相关的Flooring Protocol的攻击,引发了撤销合约授权的紧急建议。
2. NFT Trader漏洞:重入问题导致重大损失,并随后为返还被盗NFT支付赏金。
3. Ledger Connect Kit供应链攻击:Ledger Connect Kit版本中的恶意代码注入导致通过网络钓鱼攻击导致资产被盗。
4. OKX DEX合约泄露:私钥泄露问题导致代币通过DEX代理被盗。
5. Peapods Finance白帽黑客攻击:被白帽黑客黑客攻击,大部分资金被退回,凸显了主动安全措施的重要性。
6. Venus协议预言机攻击:预言机攻击影响了一个小型独立矿池,展示了去中心化协议对预言机问题的脆弱性。
7. Stoic_DAO Rug Pull:Stoic_DAO的价格下滑导致重大损失,表明DeFi领域持续存在拉动风险。
其它快讯:
慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 18:18:07]
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
慢雾:Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日,慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。
1.在Cover协议的Blacksmith合约中,用户可以通过deposit函数抵押BPT代币;
2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子,并使用accRewardsPerToken来记录累计奖励;
3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录;
4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押;
5.此时攻击者将第二次进行deposit,并通过claimRewards提取奖励;
6.问题出在rewardWriteoff的具体计算,在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory,此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值;
7.由于memory中获取的Pool值是旧的,其对应记录的accRewardsPerToken也是旧的会赋值到miner;
8.之后再进行新的一次updatePool时,由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小,所以最后获得的accRewardsPerToken将变大;
9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值,在进行rewardWriteoff计算时获得的值也将偏小,但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值;
10.因此在进行具体奖励计算时由于这个新旧参数之前差值,会导致计算出一个偏大的数值;
11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币,导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]
金色财经报道,BitMart宣布即将上线NIKO (NKO),将于2023年12月21日上线NKO/USDT交易对,存款时间:12/19/2023上午11:00 UTC。交易:12/21/2023 11:00 AM ...
区块链:2023/12/18 4:42:34金色财经报道,10年前的今天,HODL一词因一位醉酒的bitcointalk论坛用户而诞生。所以,继续HODL你的比特币,同时也要SPEDN来支持循环经济,并在其上建立BUIDL来改善生态系统。 其它快讯: ...
区块链:2023/12/18 4:42:32金色财经报道,Delegate创始人foobar在X平台表示,相当肯定1亿美元以上已被盗,因为ERC-721将其接口函数命名为safeTransferFrom() 而不是transferFromWithCallbac...
区块链:2023/12/18 4:42:29金色财经报道,比特币矿企Hut 8已与Celsius签署了在美国德克萨斯州Cedarvale建造矿场并部署矿机的临时协议。Hut 8将在当地建造能容纳6.6万台矿机,供电量达215兆瓦的矿场。 其它快讯: ...
区块链:2023/12/18 4:42:27金色财经报道,Masa Finance计划在2024年第一季度推出去中心化的数据网络和市场。Masa正在与托管的区块链服务 AvaCloud 合作,部署一个无 Gas(无手续费)的 Avalanche 子网(特定应用...
区块链:2023/12/18 4:42:26金色财经报道,据链上分析师余烬监测,一小时前,一鲸鱼继续从Binance提出5,000枚ETH(1066万美元)并存入Blast。该巨鲸在2天时间里累计以2,175美元的均价从 Binance 提出了 15,000枚...
区块链:2023/12/18 4:42:2412月18日消息,Starknet官方表示,若有用户正在使用 feeder 网关,并且还没有迁移到替代方案之一,请尽快采取行动。2023 年 12 月 19 日,feeder 网关将在主网上关闭大多数查询(queri...
区块链:2023/12/18 4:42:20金色财经报道,在过去的五天内,Avalanche用户为铭文支付了1380万美元费用,包括铭刻与转移。 其它快讯: 游戏初创公司Lava Labs完成1000万美元A轮融资:3月17日消息,游戏初创公司...
区块链:2023/12/18 4:42:18金色财经报道,Polygon 生态 DEX QuickSwap 集成 dappOS V2 后两周内交易笔数增长 110,629 笔,新增用户 6558 名。此外,dappOS 用户在 QuickSwap 上添加的流动...
区块链:2023/12/18 4:42:16金色财经报道,Galaxy Digital正在寻求帮助更多破产的数字资产公司出售资产。Galaxy Digital表示,此前帮助FTX出售、对冲和质押持有的比特币、以太坊等数字资产以及灰度比特币信托资产等帮助其资产管...
区块链:2023/12/18 4:42:15金色财经报道,据链上分析师@ai_9684xtpa监测,WLD做市商过去一周累计归还2320万枚WLD和6557万枚USDC,目前持有254万枚WLD。 其它快讯: Coinbase CEO与Blak...
区块链:2023/12/18 4:42:05金色财经报道,Web3风投Enigma fund创始人Enigma Funge表示,FTX昨日出售2.4亿美元的加密货币。 其它快讯: Gate.io将支持ETC“Phoenix”硬分叉升级:据官方公...
区块链:2023/12/18 4:42:03