以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Luna > Info

DeFi平臺Opyn智能合約漏洞詳解:攻擊者空手套白狼_DEF:beFITTER Health

Author:

Time:1900/1/1 0:00:00

北京時間2020年08月05日,DeFi期權平臺Opyn的看跌期權智能合約遭到黑客攻擊,損失約37萬美元。Opyn是一個通用期權協議,于今年2月份轉型為保險平臺,通過oTokens為DeFi平臺提供可交易的ETH看跌期權,以此錨定ETH市場價格,為高波動性的DeFi市場提供相對的穩定性。PeckShield安全團隊獲悉Opyn平臺遭受攻擊后,迅速定位到問題關鍵點在于:攻擊者發現Opyn智能合約行權接口對接收到的ETH存在某些處理缺陷,其合約并沒有對交易者的實時交易額進行檢驗,使得攻擊者可以在一筆對自己發起真實的交易之后,再插入一筆偽裝交易騙得賣方所抵押的數字資產,進而實現空手套白狼。簡單來說,由于OpynETHPut智能合約中的行權函數exercise()沒有對交易者的ETH進行實時校驗。根據Opyn平臺的業務邏輯,看跌期權的買方給賣方轉移相應價值的ETH,即可獲得賣方抵押的數字資產。狡猾的攻擊者,先向自己發起偽裝的交易,利用這筆ETH可以重復使用的特性,再次向賣方用戶發起轉賬,進而騙取賣方已經抵押的數字資產。下面為您詳細分析漏洞原因及攻擊過程。漏洞詳細過程分析

報告:以太坊合并可能對DeFi協議、穩定幣產生負面影響:金色財經報道,根據DappRadar發布的一份報告,以太坊即將到來的合并可能會大大影響DeFi協議在鏈上的運作方式。報告指出,合并可能會減慢交易時間,或者造成DeFi借貸協議服務中斷,給平臺帶來麻煩。這可能會使穩定幣價值暴跌,并使DeFi借貸池縮小。DappRadar的數據分析師Pedro Herrera表示,合并對以太坊市場供應的負面影響可能會影響DeFi流動性池,即使以太坊權益證明機制的過渡順利進行。(CoinDesk)[2022/8/27 12:51:55]

先來說說,Opyn平臺的業務邏輯:當用戶使用Opyn合約行權即買賣期貨時,需要買方向賣方轉入相應數量的ETH或者ERC20Token,然后合約將銷毀買方對應的oToken,而后買方將獲得賣方已經抵押的資產。例如:小王認為行情進入了下跌趨勢,看到Opyn上掛著一個小李對ETH330美元的看跌期權,于是進入交易系統,向小李轉賬一個ETH,獲得小李抵押的等額數字資產。若此刻行情已經跌至了300美元,小王便可獲得其中的差價。

區塊鏈工程師David Mihal推出DeFi777協議:區塊鏈工程師David Mihal推出DeFi777協議,以簡化用戶體驗。該協議不需要用戶界面,甚至不需要dApp瀏覽器(例如MetaMask)。目前發布的版本為1.0版本。該平臺允許任何人以與Uniswap LP代幣相同的方式為任何代幣生成ERC-777。(BeInCrypto)[2020/12/16 15:23:37]

圖1.exercise()函數中循環執行傳入的vaults地址列表如上面的合約代碼片段所示,行權函數exercise()的內部是一個循環,依據參數中傳遞的vaultsToExerciseFrom中的地址數量依次調用真正的行權邏輯_exercise()函數。

無極DEFI去中心化交易所將于10月14日上線:據官方消息,新加坡時間10月14日13點19分,無極DEFI交易所將正式上線WJC/USDT交易對,15日20點上線TJC/USDT交易對。

無極DEFI致力于打造全球Defi生態系統,為用戶提供完備跨鏈的去中心化金融平臺。

據悉,無極Defi推出三幣聯動銜接強通縮機制,助力TJC生態發展;無極DEFI上線即開通去中心化借貸、支付應用。[2020/10/13]

圖2.重用傳入合約的ETH來獲得抵押資產函數處理ERC20Token時,和大部分的DeFi項目做法一樣,使用transferFrom(),如代碼1882行所示,從msg.sender轉賬到address(this)。但是當函數處理的資產為ETH時,處理的方式就完全不一樣了。因為在Solidity中,msg.value的意思是合約調用者在調用具有payable接口時所轉給該合約的ETH數量,僅是一個量值,所以在合約代碼的1879行中,檢查msg.value==amtUnderlyingToPay僅能確保合約確實收到了amtUnderlyingToPay數量的ETH,并不會對msg.value的值造成任何影響。但是正如上面講到的在exercise()中會循環調用_exercise()函數,這導致盡管合約實際只收到一次ETH,然而在循環過程中卻可以重復使用。攻擊點就在這里,由于合約少了一步對ETH實時數量的檢驗,使得攻擊者可以先偽造一筆指向自己的交易,然后再把已經花掉的本金再次利用,和平臺其他用戶完成一筆正常交易。

Fundstrat報告:DeFi領域或因缺乏AML相關法規而面臨監管壓力:華爾街研究分析公司Fundstrat Global Advisors LLC發布研究報告稱,鑒于當前的監管軌跡,加密市場中某些加密貨幣細分市場比其他細分市場更容易受到監管,比如在離岸交易所上線的加密代幣。此外,去中心化金融(DeFi)領域可能會因為缺乏KYC和AML法規而面臨監管壓力。[2020/10/13]

圖3.攻擊交易分析在圖3中,我們通過Bloxy瀏覽器顯示的調用過程來展示攻擊的過程。由于攻擊者吃掉了很多筆訂單,我們以其中一筆交易為例,向大家展示其攻擊邏輯:1、攻擊者先從Uniswap購入了75oETH為進一步調用函數行權做好籌備;2、攻擊者創建了一個Vault地址,作為看空期權賣方,并且抵押24,750USDC鑄造出75oETH,但并未賣出這些期權,等于自己同時買入了以330的價格賣出75ETH的權利;3、攻擊者在Opyn合約中調用了exercise(),在持有150oETH看空期權的情況下,先向自己的Vault地址轉入了75個ETH,獲得自己事先抵押的24,750個USDC,再重利用了這75個ETH,成功吃掉了另一個用戶的24,750個USDC,進而實現非法獲利。修復建議

PeckShield安全團隊建議,在Solidity中,合約可使用一個局部變量msgValue來保存所收到ETH。這樣,在后續的步驟中通過操作msgValue,就能準確的標記有多少ETH已經被花費,進而避免資產被重復利用。此外,我們還可以使用address(this).balance來檢查合約余額來規避msg.value被重復使用的風險。

Tags:ETHDEFIEFIDEFSTKETH價格AllWin DeFibeFITTER Healthdefi幣今日行情

Luna
ETH2.0測試網今晚上線,以太坊期貨交易量創新高_以太坊:Alchemist DeFi Aurum

自上周日幣市上演插針行情后,各幣種當前都處于緩慢的消化中,而ETH卻已經吹響了反攻的號角,今日早上再次引發上漲行情,一度沖上400美元,和前日的高位僅差15美元不到.

1900/1/1 0:00:00
星球前線 | Silvergate Q2表現強勁,支付平臺SEN功不可沒_ILV:VER

Odaily星球日報譯者|念銀思唐 摘要: -Silvergate第二季度表現強勁,同比增長顯著;-Silvergate的支付平臺SEN及其新的相關產品SENLeverage一直是該行的增長動力.

1900/1/1 0:00:00
行情分析:大盤回調莫慌,這是進場好時機_GMT:USDAP

本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。金色財經合約行情分析丨BTC在9000美元上方波動 有所企穩:據火幣BTC永續合約行情顯示,截至今日17:00(GMT+8),BTC價.

1900/1/1 0:00:00
OKEx投研:比特幣時隔一周再“興奮”,就此脫離盤整概率有多大?_SDT:okex官方網站網址

BTC/USDT永續合約 各級別性質:日線-盤整,4小時-盤整,1小時-上漲截圖來自OKEXBTC/USDT永續合約4小時圖:對于行情從兩個角度來說.

1900/1/1 0:00:00
數字資產支付行業研究報告_區塊鏈:數字資產

要點總結1.全球支付市場持續增長,預計2023年全球支付市場收入將達2.7萬億美元。同時,科技的發展使支付生態圈內涌現科技背景的玩家,或將改變行業格局;2.支付行業現存痛點明顯,主要包括支付手續.

1900/1/1 0:00:00
妖幣LINK_CHA:chainlink幣今日價格

今天,LINK又吸引了一波眼球。“IftimegoesbacktoFeb2019,Iwould’vetoldmyself,‘ForgetaboutBTC,MarryLINK.’”這是嗶嗶News.

1900/1/1 0:00:00
ads