據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析
過去24小時全網爆倉6144.79萬美元:金色財經報道,數據顯示,過去24小時全網爆倉6144.79萬美元。其中BTC爆倉1270.60萬美元,ETH爆倉896.39萬美元。[2023/4/3 13:40:58]
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
Crypto.com CEO:公司對Signature無風險敞口,正恢復所有USDC服務:3月13日消息,加密交易所Crypto.com首席執行官Kris Marszalek發推特稱:“公司對Signature Bank的風險敞口為零,我們正在恢復所有USDC服務。”[2023/3/13 12:59:43]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:
Azuki系列NFT近24小時交易額漲幅達10.45%:金色財經報道,據NFTGo.io數據最新數據顯示,Azuki系列NFT總市值為148703 ETH,過去24小時的交易額為523.35 ETH,漲幅達10.45%;地板價為9.67ETH,持有NFT地址總數為4988個。[2022/11/12 12:53:46]
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
NFT評級項目FungyProof宣布更名為Skry:9月16日,據官方消息,NFT評級平臺FungyProof已宣布更名為“Skry”。此外,該公司還發布了新版APP,優化了界面、評級算法和搜索功能。
此前報道,FungyProof開發團隊CR3Labs在今年四月完成了100萬美元pre-seed輪融資,Cadenza Ventures、Hypersphere Ventures等參投。[2022/9/16 7:00:51]
到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。3月11日,以太坊EIP-1559提案已確定將在以太坊7月的倫敦升級中執行。然而該提案一直被廣大礦工所反對.
1900/1/1 0:00:00幣圈再次度過了一個極其熱鬧的周末。從孫哥天價入局推特創始人JackDorsey的首條推文拍賣,到BSC史上最大安全事件“Meerkat跑路”的戲劇性反轉,再到美圖公開宣傳入場買幣,甚至是坊間傳聞.
1900/1/1 0:00:00“愷之每食甘蔗,恒自尾至本,人或怪之。云:‘漸入佳境。’”,古人吃甘蔗時悟出,自上而下,越吃越甜。無獨有偶,相信Filecoin的生態參與者們此刻也感同身受,由內到外,越挖越香.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:JORDANFINNESETH,編譯:Apatheticco,星球日報經授權發布.
1900/1/1 0:00:00Odaily星球日報譯者|念銀思唐本周,NBA達拉斯獨行俠隊宣布將接受基于meme的加密貨幣——狗狗幣支付門票和商品,這讓狗狗幣持有者們非常興奮.
1900/1/1 0:00:00英偉達新出的RTX3060真的限制了以太坊挖礦速率嗎?下圖是YouTobe上一位專業礦工SerpentXSF對3060挖礦以太坊的測評.
1900/1/1 0:00:00