北京時間2022年2月22日下午1:46,CertiK安全專家團隊檢測到與FlurryFinance相關的一系列可疑活動,FlurryFinance的Vault合約受到攻擊,價值約29.3萬美元的資產被盜。
下文CertiK安全團隊將從合約地址及攻擊操作等方面為大家進行詳細的解讀并分析。攻擊步驟
攻擊者部署了一個惡意Token合約,并為Token和BUSD創建了一個PancakeSwap交易對。攻擊者:https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35惡意Token合約:https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7PancakeSwap交易對:https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb攻擊者從Rabbit的Bank合約中進行閃電貸,并觸發了StrategyLiquidate的execute方法。execute方法將輸入數據解碼為LPToken地址,并進一步得到惡意Token合約地址。攻擊者利用惡意Token合約中的攻擊代碼發起初步攻擊:https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142StrategyLiquiddate合約:https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369
Coinbase CLO:美SEC應延續目前合格托管人定義,否則應公開非合格托管人信息:5月9日消息,加密貨幣交易所Coinbase首席法務官Paul Grewal在社交媒體發文,強調即使美國證券交易委員會(SEC)要求對注冊投資顧問必須將客戶資產存放在合規托管人的規則進行重大修訂,Coinbase Custody Trust Company仍將是合格托管人。Coinbase認為,美國證券交易委員會應繼續將國有信托公司和其他國家監管的金融機構定義為合格托管人,如果新提案禁止注冊投資顧問在不具備合格托管人資格的加密貨幣交易所進行交易,那么監管機構應公開非合格托管人信息。Coinbase還建議美國證券交易委員會應根據資產類別和客戶類型定制謹慎標準,并允許經驗豐富的客戶協商自己的合同。[2023/5/9 14:51:33]
萬向區塊鏈肖風:數字經濟中使用權比所有權更重要,Token或是互聯網平臺反壟斷的最佳解決方案:2月12日消息,萬向區塊鏈實驗室創始人肖風近期在新躍社科大學 DBAC 論壇主題演講時發言表示,數字經濟會造就一個虛擬資產或者叫數字資產這樣的一個市場體系。而且未來 20 年或者 30 年后可能會和現在的股票市場一樣具有同樣的規模,也具有同樣的價值。數字化的產品和服務,具有高固定成本、低邊際成本的價值規律,這造成了目前全球互聯網平臺造成壟斷的現象。同時,在追求價值最大化的路徑當中,使用權顯得比所有權更重要,區塊鏈時代把這個使用權的新價值規律發揮到了極致,而 Token 在數字經濟中即代表了使用權。
區塊鏈的分布式賬本幫助我們從數字化的產品和數字化的服務當中,把使用權單獨的抽取出來。其個人認為 Token 可能是反對互聯網平臺壟斷的最佳解決方案。[2023/2/12 12:01:41]
惡意Token合約調用FlurryRebaseUpkeep合約的performUpkeep方法,對Vault合約的相關金額進行重新統計,并更新了與之相關的RhoToken的multiplier。此處的multiplier將用于RhoToken的余額計算。對Vault合約的相關金額進行重新統計,并更新了與之相關的RhoToken的multiplier。此處的multiplier將用于RhoToken的余額計算。該更新基于與Vault合約相關的盈利策略合約里的余額。更新是在閃電貸的過程中觸發的,此時的閃電貸還未結束,借出的金額也還未歸還,因此Bank合約的當前余額遠小于正常值。此Bank合約也是某個strategy的一部分,因而使得某strategy的余額小于正常值,進一步導致multiplier小于正常值。FlurryRebaseUpkeep合約:https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b其中一個Vault的合約:https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4
Lead Capital聯創:游戲與區塊鏈相結合,兩者都可以發展壯大:金色財經聯合Coinlive現場報道,在新加坡舉辦的2022ABGA區塊鏈游戲峰會,題為“區塊鏈游戲的投資策略”的圓桌討論中,Lead Capital聯合創始人Michael Chen表示,區塊鏈技術具有像互聯網一樣被大規模采用的巨大潛力。不同類型的“x-to-earn”游戲因為區塊鏈技術而出現,因為游戲擁有龐大的用戶和開發者基礎,所以游戲產業與區塊鏈產業相結合,所以兩者都可以發展壯大。
此外,Hashkey Capital投資經理JunBo Yang提到,今年戰略的主要轉變是更多地關注游戲本身,例如核心玩法、機制、故事情節和能夠讓玩家興奮的角色。[2022/9/27 22:34:03]
SPACE ID將于9月14日向域名持有者分配1019BNB競標收入:9月5日消息,全鏈域名服務商SPACE ID宣布將于9月14日開始將競標收入(1019枚BNB)分配給域名持有者。.bnb域名預注冊活動共吸引8984名參與者注冊總計23,518個域名。[2022/9/5 13:09:40]
攻擊者歸還了閃電貸的款項并完成了初步攻擊,且為進一步攻擊獲利做好了準備。在緊接著的交易中,攻擊者以前一次交易中得到的低multiplier存入Token,將multiplier更新為更高的值,并以高multiplier提取Token。例如,在其中一筆初步攻擊的交易中,multiplier被更新為4.1598e35。
在進一步攻擊的交易中multiplier被更新為4.2530e35。
攻擊實例:https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df因為multiplier乘數是決定RhoToken余額的因素之一:
攻擊者的RhoToken余額在交易中增加了,所以ta能夠從Vault中提取更多的Token。攻擊者多次重復這一過程,從Vault合同中盜走了價值29.3萬美元的資產。寫在最后
該次事件主要是由外部依賴性引起的。因此CertiK的安全專家建議:項目在與外部合約交互之前應對其安全性有清晰的認知,并且限制外部依賴可能對自身合約的影響。本次事件的預警已于第一時間在CertiK官方推特進行了播報。
除此之外,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
每隔3、4年,比特幣的敘事就會經歷些變化:2011:點對點現金;2015:支付功能;2017:通脹對沖工具;2020:價值儲存.
1900/1/1 0:00:00我們曾經在一個交易經濟的體系中運作,我們以商品或服務為交換條件來轉移財富、文化和思想。如果你曾漫步在印度的喀拉拉邦,你會發現古代黃金和羅馬文化的痕跡.
1900/1/1 0:00:00趁著這雞肋無趣的行情記錄/分享一下我這一年多來的擼毛旅程,有收獲,也有心酸。主要也是為了復盤過往、吸取經驗教訓來展望未來。多以我自身經歷為主線,主要將Airdrop分為以下幾類來展開.
1900/1/1 0:00:00本文來自微信公眾號FastDaily。非同質化代幣正在蓬勃發展,NFT藝術品經常在拍賣會上以數百萬美元的價格出售。以下是迄今為止最高的交易。 該NFT在佳士得以6900萬美元的價格售出.
1900/1/1 0:00:00新的研究結果表明,在約會資料中加入“加密貨幣”會讓你更受歡迎,但加密貨幣社區表達了對線上約會的擔憂。加密貨幣已經成為2022年最廣泛討論的話題之一.
1900/1/1 0:00:00回顧從Web1.0到Web2.0的過渡情況。新技術在剛被發現時從未被正確使用。這是因為它們常常被用來解決預先存在的問題,而不是用來釋放新的機會。我們已經一次又一次地看到這種情況.
1900/1/1 0:00:00