北京時間2022年4月15日11點18分,CertiK審計團隊監測到RikkeiFinance被攻擊,導致約合701萬元人民幣資產遭受損失。
由于缺乏對函數`setOracleData`的訪問控制,攻擊者將預言機修改為惡意合約,并獲取了從合約中提取USDC、BTCB、DAI、USDT、BUSD和BNB的權限。攻擊者隨后將這些代幣全部交易為BNB,并通過tornado.cash將這些BNB轉移一空。
攻擊步驟
①攻擊者向rBNB合約發送了0.0001個BNB以鑄造4995533044307111個rBNB。
②攻擊者通過公共函數`setOracleData()`將預言機設置為一個惡意的預言機。
③由于預言機已被替換,預言機輸出的rTokens價格被操縱。
Strike支持美國用戶向尼日利亞、肯尼亞和加納付款:金色財經報道,比特幣閃電網絡上的支付平臺Strike,通過其“全球發送”功能,美國用戶可以向尼日利亞、肯尼亞和加納立即支付低成本的款項。根據一份新聞稿,這項新功能由與非洲支付平臺Bitnob合作提供。加密貨幣支付會被立即轉換為奈拉、塞地或先令,并存入收款人的銀行、移動貨幣或Bitnob賬戶。(the block)[2022/12/6 21:26:36]
④攻擊者用被操縱的價格借到了346,199USDC。
⑤攻擊者將步驟4中獲得的USDC換成BNB,并將BNB發送到攻擊合約中。
⑥攻擊者重復步驟4和5,耗盡BTCB、DAI、USDT和BUSD。
⑦攻擊者使用函數`setOracleData()`再次改變預言機,還原了該預言機的狀態。
加密智能平臺Metrika增加對Hedera網絡活動和性能的支持:金色財經報道,區塊鏈和分布式賬本網絡的運營智能平臺Metrika今天宣布與Hedera合作,為該公司的網絡生態系統中的不同應用提供更強的可見性和透明度。Hedera網絡生態系統現在可以訪問Metrika的區塊鏈和分布式賬本技術(DLT)監控和分析平臺。(cryptoninjas)[2022/8/4 12:01:43]
合約漏洞分析
SimplePrice預言機?:?
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
Cointroller:?https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code
Strike宣布在阿根廷推出比特幣支付服務:1月12日消息,比特幣閃電網絡應用程序Strike周二宣布在阿根廷推出其支付服務。阿根廷人將能夠進行比特幣匯款支付,在Twitter上接收比特幣打賞,并使用Strike的點對點交易服務。Strike表示,阿根廷是2022年拉丁美洲擴張的第一步,接下來將擴展到巴西、哥倫比亞等其他拉丁美洲市場。Strike支付應用程序已于去年3月份在薩爾瓦多推出。(CoinDesk)[2022/1/12 8:43:09]
資產地址:?Rtoken0x157822ac5fa0efe98daa4b0a55450f4a182c10ca
新的預言機:?
0xa36f6f78b2170a29359c74cefcb8751e452116f9
原始價格:416247538680000000000
Strike將增加對多種法幣和穩定幣的支持:金色財經報道,比特幣閃電網絡錢包Zap旗下初創公司Strike正在推出對歐元、英鎊和瑞士法郎的支持,隨后將與加密貨幣交易所Bittrex Global合作,將增加對澳元和加元的支持。此外,Strike還將列出流行的穩定幣USDT和USDC。[2021/1/7 16:36:06]
更新后的價格:416881147930000000000000000000000
RikketFinance是利用Cointroller中的SimplePrice預言機來計算價格的。然而,函數`setOracleData()`沒有權限控制,也就是說它可以被任何用戶調用。攻擊者使用自己的預言機來替換原有的預言機,并將rToken的價格從416247538680000000000提升到4168811479300000000000000。
資產去向
其他細節
漏洞交易:
●?https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44?
●?https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
相關地址:
●攻擊者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻擊者合約:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●惡意預言機:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●攻擊者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻擊者合約:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●惡意預言機:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●被攻擊預言機地址:
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
安全審計發現相關風險。CertiK的技術團隊在此提醒大家,限制函數的訪問權限是不可忽略的一步。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了3200家企業客戶的認可,保護了超過3110億美元的數字資產免受損失。
歡迎點擊CertiK公眾號底部對話框,留言免費獲取咨詢及報價!
本文來自?Decrypt,原文作者:KateIrwinOdaily星球日報譯者|余順遂元宇宙領域新的獨角獸企業誕生了.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbelaunchingdepositeventsfor?NOIA.Makeyourdepositstoearnhigh-yieldi.
1900/1/1 0:00:00一些列出的代幣正在飆升,盡管批評者指責Coinbase考慮了毫無價值的代幣。 關鍵要點 Coinbase發布了一份50種新代幣的清單,正在考慮在其平臺上上市。許多代幣的價格在過去24小時內飆升.
1900/1/1 0:00:00Sinceitslaunch,Gate.ioliquidityminingproductshavebeenreceivingenthusiasticresponses.Andtheyaregro.
1900/1/1 0:00:00美國3月份消費者價格指數飆漲,市場增強了美聯儲加息50個基點預期,根據美銀最新的基金經理調查顯示,對于全球經濟的樂觀情緒跌至了歷史新低,美股預計仍有回落空間,加密市場預計也將表現疲弱.
1900/1/1 0:00:00Period:?13:00(UTC)onApr11-13:00(UTC)onApr18,2022HowtoParticipate: ?JoinNow? ●Clickthe?buttonatthe.
1900/1/1 0:00:00