慢霧發布DFX Finance攻擊事件簡析_Curve:PAXCURVE價格

據慢霧安全團隊情報，今日ETH鏈上的DFXFinance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊對此事件進行的分享如下：

1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢；2.緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款；3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證；4.由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查；5.最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利。

慢霧：過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息，據慢霧統計，上周加密領域因遭遇攻擊累計損失3060萬美元，攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜（損失2300萬美元）、Conic Finance遭閃電貸攻擊（損失30萬美元）以及重入攻擊（損失320萬美元）、GMETA發生RugPull（損失360萬美元）、BNO遭閃電貸攻擊（損失50萬美元）等。[2023/7/24 15:55:56]

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。

慢霧：區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道，據慢霧統計數據顯示，自2012年1月以來，區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元；黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別，損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元，2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式，分別發生黑客事件137起，106起，87起。[2023/7/7 22:24:09]

參考攻擊交易：

動態 | 慢霧區發布0day漏洞預警 可盜取交易所賬號:慢霧區0day漏洞預警：某第三方知名 JS 庫存在 XSS 0day 漏洞，可繞過 Cloudflare 等防御機制。該漏洞如果被惡意利用會導致數字貨幣交易所等平臺的用戶帳號權限被盜、惡意操作等資產損失。經過慢霧安全團隊確認該漏洞影響范圍非常之廣，漏洞利用過程簡單，威力十足。[2018/9/18]

https://etherscan.io/tx/0x6bfd9e286e37061ed279e4f139fbc03c8bd707a2cdd15f7260549052cbba79b7

此前，派盾曾報道稱DFXFinanceDEX池疑似被攻擊，損失約3000ETH，和上述分析數據有差異。

Tags：CURCurveETHNANcurve幣價格PAXCURVE價格ETHFSyrup Finance

屎幣