鏈捕手消息,據慢霧區分析,幣安智能鏈DeFi項目AutoSharkFinance被黑,導致代幣價格閃崩。慢霧團隊針對攻擊過程分析如下:
由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備,所以整個攻擊其實分成了2步,這里主要分析的是第2筆的攻擊交易。
攻擊步驟如下:
1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;
慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]
2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;
3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;
FilDA合約代碼已通過安全公司慢霧科技的安全審計:據FilDA團隊消息,目前FilDA 合約代碼已通過三家安全公司審計,分別為慢霧科技、靈蹤安全、創宇存證,并已出具4份安全審計報告,FilDA 未來將繼續加強安全建設,為用戶的資產安全保駕護航。
FilDA是基于HECO的跨鏈借貸DeFi項目。 FilDA于2021年1月5日晚20:00開啟創世挖礦Fair launch,首發HUSD、HBTC等17種資產借貸功能,同時也是HECO首個公開平臺各項APY數據,存借雙向實時透明數據的借貸項目。FilDA 平臺存借款總額高峰值突破12億美元,FilDA LP 峰值超過3000萬美金。FilDA項目無募資,無預挖,致力于HECO首選的用戶友好型的DeFi借貸平臺。[2021/3/2 18:08:11]
4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;
6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;
7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;
8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;
9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。
本文來自于華爾街見聞,作者為劉曉翠。馬斯克宣布特斯拉不再接受比特幣支付的言論,激怒了狗狗幣聯合創始人。帕爾默5月13日發推特稱,馬斯克一直是一個自私的騙子,未來也是如此.
1900/1/1 0:00:00鏈捕手消息,鏈上流動性網絡AlkemiNetwork在其Medium宣布完成460萬美元融資,并上線主網.
1900/1/1 0:00:00本文發布于Reddit,作者:Liberosist,經由ETH中文站翻譯。下文列出了一些對以太坊常見批評,也會提供我個人的看法.
1900/1/1 0:00:00鏈捕手消息,今日,SolvICMarket團隊在官方Twitter上宣布其核心智能合約已全面由慢霧科技進行代碼審計,根據審計結果代碼優化工作已經完成,并正式部署至以太坊主網.
1900/1/1 0:00:00本文發布于鏈聞,作者:曹一新,就職于HashKeyCapitalResearch。MEV研究組織Flashbots發布的3月報告稱,其推出的第三方以太坊客戶端版本MEV-geth已吸引擁有全網5.
1900/1/1 0:00:00鏈捕手消息,據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊將攻擊過程以簡訊的形式分享:1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代.
1900/1/1 0:00:00