據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程
1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI
Chainstack推出可用于13個區塊鏈的鏈上索引工具Subgraphs:金色財經報道,Web3基礎設施公司Chainstack發布了Subgraphs,一種區塊鏈數據索引工具,旨在為加密項目、交易所、錢包、NFT和游戲平臺等應用程序提供實時鏈上數據訪問。Chainstack Subgraphs在發布時支持13個主要區塊鏈,包括Ethereum、Polygon、BNB Chain、Avalanche、Optimism、Arbitrum、Near、Aurora、Fantom、Gnosis、Harmony和Cronos。[2023/4/19 14:13:50]
2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。
Osmosis基金會已將至少10%財庫資產兌換為比特幣:3月20日消息,Cosmos 生態 DEX Osmosis 聯合創始人 sunnya97.osmo 在社交媒體發文稱,Osmosis 基金會已將其現金財庫中至少 10% 以上資產兌換為比特幣。[2023/3/20 13:14:23]
3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI
ETC Grants DAO買入500萬美元ETC 以資助ETC開發者:據ETC Grants DAO官方推特顯示,ETC Grants DAO已買入500萬美元等值ETC并轉入ETC Grants DAO公開地址0x3db3D728B8783656b83c3cB8eDc1481eC3c62f82。ETC Grants DAO是一個為ETC開發者提供無償資助的非盈利性去中心化自治組織。該組織活躍成員來自比特大陸、螞蟻礦池、ETC項目方和ETC核心生態項目等。[2022/11/8 12:31:22]
4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利
總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。
據CoinDesk12月11日消息,以太坊開發者VirgilGriffith的律師已于過去的一周提交了文件,聲稱他們仍然不知道VirgilGriffith到底是因為什么而被指控.
1900/1/1 0:00:0011月17日,重慶兩江新區打擊非法金融活動領導小組辦公室關于防范非法金融活動的風險預警提示。提示指出,隨著區塊鏈技術發展受到廣泛運用,一些不法分子借機炒作區塊鏈概念,以所謂“虛擬貨幣”“區塊鏈商.
1900/1/1 0:00:00由于比特幣等加密貨幣價格飆升再次帶動挖礦熱情,導致顯卡市場供貨緊張,尤其是2020年顯卡新品性能出售且價格偏低激發大量買卡需求,再加上全球疫情影響下的產能不足等一系列原因,造成一卡難求局面.
1900/1/1 0:00:00據鄂州市人民政府網消息,10月30日,鄂州市邀請螞蟻科技集團副總裁鄒亮一行,在市局作主題為“螞蟻鏈生態共創公共服務體系”專題講座。市委書記王立參加講座.
1900/1/1 0:00:00北京時間12月17日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報1886.63點,過去24小時上漲9.42%,成交額853.24億美元,成交較前24小時增加37.01%.
1900/1/1 0:00:00雪崩協議發文宣布聯手RocheCyrulnikFreedmanLLP、RepublicAdvisoryServices將推出“首次訴訟發行”.
1900/1/1 0:00:00