據慢霧安全團隊情報,今日ETH鏈上的DFXFinance項目遭到攻擊,攻擊者獲利約231,138美元。慢霧安全團隊對此事件進行的分享如下:
1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況,之后根據返回的存款情況來構造合適的閃電貸需要借出的錢;2.緊接著繼續Curve合約的flash函數進行閃電貸,因為該函數未做重入鎖保護,導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款;3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數,在該函數中會將第二步中借來的資金轉移回Curve合約里,并且為攻擊合約進行存款的記賬,并且為攻擊合約鑄造存款憑證;4.由于利用重入了存款函數來將資金轉移回Curve合約中,使得成功通過了閃電貸還款的余額檢查;5.最后調用withdraw函數進行取款,取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證,并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利。
慢霧:過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息,據慢霧統計,上周加密領域因遭遇攻擊累計損失3060萬美元,攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜(損失2300萬美元)、Conic Finance遭閃電貸攻擊(損失30萬美元)以及重入攻擊(損失320萬美元)、GMETA發生RugPull(損失360萬美元)、BNO遭閃電貸攻擊(損失50萬美元)等。[2023/7/24 15:55:56]
此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護,導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷,由于存款時有記賬所以攻擊者可以成功提款獲利。
慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
參考攻擊交易:
動態 | 慢霧區發布0day漏洞預警 可盜取交易所賬號:慢霧區0day漏洞預警:某第三方知名 JS 庫存在 XSS 0day 漏洞,可繞過 Cloudflare 等防御機制。該漏洞如果被惡意利用會導致數字貨幣交易所等平臺的用戶帳號權限被盜、惡意操作等資產損失。經過慢霧安全團隊確認該漏洞影響范圍非常之廣,漏洞利用過程簡單,威力十足。[2018/9/18]
https://etherscan.io/tx/0x6bfd9e286e37061ed279e4f139fbc03c8bd707a2cdd15f7260549052cbba79b7
此前,派盾曾報道稱DFXFinanceDEX池疑似被攻擊,損失約3000ETH,和上述分析數據有差異。
據路透社報道,加密借貸平臺VoyagerDigital于周三獲得法院的初步批準,以14.2億美元的價格出售其資產給加密交易所FTX.
1900/1/1 0:00:00據香港新聞網報道,在今日香港金融科技周開幕活動上,香港房地產大亨、周大福家族財富繼承人、新世界發展行政總裁鄭志剛發表演講時表示,香港將能擁抱三大機遇,成為獨一無二的全球虛擬資產中心.
1900/1/1 0:00:00據CoinDesk報道,比特幣礦企IrisEnergy周一表示,該公司正面臨其貸款人的索賠,稱其拖欠了兩家特殊目的載體(SPV)持有的1.03億美元設備貸款.
1900/1/1 0:00:00以太坊擴展協議zkSync的母公司MatterLabs在C輪融資中籌集了2億美元。BlockchainCapital和Dragonfly領投了此次投資,LightSpeedVenturePart.
1900/1/1 0:00:00據U.today報道,硬件錢包Ledger聯合創始人EricLarchevêque在TikTok上的一段視頻中表示,由于高度中心化,與Ripple相關的代幣甚至不是加密貨幣.
1900/1/1 0:00:00據CoinDesk報道,新的破產文件聲稱FTXVentures的內部運作就像該公司的很多部門一樣雜亂無章.
1900/1/1 0:00:00