2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊跟進相關事件并進行分析,以下為分析簡略過程:
1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI。
比特幣全網未確認交易數量為3939筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為3939筆,全網算力為317.39 EH/s,24小時交易速率為3.41交易/s,目前全網難度為39.16 T,預測下次難度上調10.91%至43.43 T,距離調整還剩3天2小時。[2023/2/22 12:20:36]
2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI。
Xfinite正式與Algorand鏈上錢包Pera Wallet合作:據官方公告,Algorand鏈上去中心化的娛樂生態系統Xfinite正式與Algorand鏈上錢包Pera Wallet合作。
據悉,Pera Wallet支持Algorand生態系統中的任何dApp平臺。[2022/9/12 13:23:58]
3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI。
Shiba Inu治理代幣BONE上市后飆升超200%:8月30日消息,自8月19日以來,Bone ShibaSwap(BONE)一直在加速增長。隨著8月29日加密交易平臺BlueBit.io宣布BONE上市后,上升至2.10美元高點,已突破關鍵阻力位。
BONE是ShibaSwap生態系統的治理代幣。它允許持有人對提案進行投票,他們的投票權重與其持有的數量成正比。(Beincrypto)[2022/8/30 12:58:17]
4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利。
來源:金色財經
??JoyTok趣抖音核心團隊位于新加坡,成員富有想象力,曾參與TikTok研發。JoyTok擁有行業的頭部MCN、廣告商資源和產業資本資源.
1900/1/1 0:00:00自2007年filecoin發布該項目白皮書以后,filecoin一直是貨幣界關注的焦點。它也被認為是開放Web3.0的關鍵,也是云存儲市場的新標桿.
1900/1/1 0:00:00近日,DeFi市場經歷了一場嚴峻的考驗,多起攻擊事件接連發生,造成了巨大的資產損失。在多數安全事件中,閃電貸攻擊的“冠名”似乎成為了標配.
1900/1/1 0:00:00全面展現移動公司在CHBN四大領域優質的產品及服務形象,菏澤分公司于11月份通過線上“我是服務體驗官,評論點贊贏音箱”話題運營,線下“移路同行,優+體驗”現場聯動.
1900/1/1 0:00:00人們總是在用真金白銀交學費來市場學習經驗,而這些經驗也就是我寫的每篇文章里都有在說的,或者找到我的朋友,我都有跟大家交流過,有時候多啰嗦幾句也就是想讓這個市場的投資者能夠少走點彎路.
1900/1/1 0:00:00幣圈的老韭菜想必都知道,挖礦最為常見的就是POW了,它是屬于實體礦機,借助電腦通過破解算法搶奪記賬權來獲取的出塊獎勵;而IPC阿波羅,它是讓挖礦系統通過一個復雜的算法去根據你的算力去給你記賬.
1900/1/1 0:00:00