據慢霧區消息, 2021 年 9 月 12 日,Avalanche 上 Zabu Finance 項目遭受閃電貸攻擊,慢霧安全團隊第一時間介入分析,并將分析結果分享如下。?
Zabu Finance 是 Avalanche 上的下一代去中心化金融 (DeFi) 項目。Zabu Finance 成熟的生態系統包括收益聚合、收益耕作、抵押、籌款。
以下是本次攻擊涉及的具體地址:
1、攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約 1 在 Pangolin 將 WAVAX 兌換成 SPORE 代幣,并將獲得的 SPORE 代幣抵押至 ZABUFarm 合約中,為后續獲取 ZABU 代幣獎勵做準備。2、攻擊者通過攻擊合約 2 從 Pangolin 閃電貸借出 SPORE 代幣,隨后開始不斷的使用 SPORE 代幣在 ZABUFarm 合約中進行`抵押/提現`操作。由于 SPORE 代幣在轉賬過程中需要收取一定的手續費 (SPORE 合約收取),而 ZABUFarm 合約實際接收到的 SPORE 代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到 ZABUFarm 合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但 ZABUFarm 合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時 ZABUFarm 合約實際接收到的 SPORE 代幣數量小于攻擊者在提現時 ZABUFarm 合約轉出給攻擊者的代幣數量。3、攻擊者正是利用了 ZABUFarm 合約與 SPORE 代幣兼容性問題導致的記賬缺陷,從而不斷通過抵押/提現操作將 ZABUFarm 合約中的 SPORE 資金消耗至一個極低的數值。而 ZABUFarm 合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的 SPORE 代幣總量參與計算的,因此當 ZABUFarm 合約中的 SPORE 代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。4、攻擊者通過先前已在 ZABUFarm 中有進行抵押的攻擊合約 1 獲取了大量的 ZABU 代幣獎勵,隨后便對 ZABU 代幣進行了拋售。
參議員Elizabeth Warren辦公室將MakerDAO與已失敗的早期實驗項目The DAO混淆:9月21日消息,MakerDAO開發者和反加密參議員Elizabeth Warren辦公室最近的對話揭示了一個令人擔憂的問題,即他們對當前DeFi生態系統缺乏足夠的了解。9月20日,社交媒體上開始流傳一個截圖展示了MakerDAO社區成員之間的對話,討論該項目代表和Warren參議員辦公室最近一次會議的結論。在截圖中,化名的MakerDAO治理代表“PaperImperium”聲稱花了很多時間說服Warren,讓他相信Maker和The DAO不是同一個項目。后者是一個名聲不佳的DAO早期實驗,在2016年失敗之前遭受了重大黑客攻擊。(Cointelegraph)[2021/9/21 23:40:08]
慢霧 AML 團隊分析統計,本次攻擊黑客獲利約 60 萬美元。
聲音 | 智能合約先驅Nick Szabo談門羅幣:我認為它比BTC有著更好的隱私性:今日,智能合約先驅尼克·薩博(Nick Szabo)在推特上在被問如何看待門羅幣時回答表示:我認為它比BTC有著更好的隱私性,我鼓勵人們使用它。[2019/7/21]
資金流向分析
慢霧 AML 旗下?MistTrack 反洗錢追蹤系統分析發現,以太坊上的攻擊者地址 (0x9ed...f86)?初始資金來自混幣平臺 Tornado.Cash 轉入的 31 ETH。
接著,將 30 WETH 跨鏈到?Avalanche。
聲音 | Elizabeth White:未來經濟將以100%的數字資產為基礎:據cryptoglobe報道,The White Company首席執行官Elizabeth White表示,未來經濟將以100%的數字資產為基礎。每一項資產,如貨幣、投資、房地產或任何資產的所有權,都將標記在區塊鏈上。它更高效,更安全。[2019/2/24]
攻擊者在 Avalanche?上分別創建了攻擊合約 1 和 2。
接著,攻擊者通過攻擊合約 1 將 WAVAX 兌換為 SPORE,并將 SPORE 抵押到 ZABUFarm 合約中。
聲音 | Nick Szabo:圖靈完備區塊鏈不是“世界電腦”或“Web3.0”:智能合約先驅Nick Szabo今日表示,從規模上看圖靈完備區塊鏈是一個處理極其昂貴且信任最小化計算的平臺,而不是“世界電腦”或“Web3.0”。通過非常認真的編寫以及非常小的無庫程序,圖靈完備區塊鏈將適合大額金融智能合約。對此,ETC官方團隊評論稱,這同樣是目前最符合ETC的定義。[2018/7/6]
攻擊者通過攻擊合約 2 從 Pangolin 閃電貸借出 SPORE 代幣,隨后多次在 ZABUFarm 合約中進行抵押/提現操作。
在獲利后,攻擊者將獲利的約 45 億 ZABU 代幣多次兌換為 WAVAX 代幣,再將 WAVAX 代幣兌換為 201?WETH.e。
接著,攻擊者將獲利的 WETH.e 跨鏈到以太坊。
沒有任何停歇,攻擊者直接將獲利資金通過 Tornado.Cash 轉出。
經過以上分析,可以認為攻擊者是較為專業的,毫不含糊地直接從 Tornado.Cash 轉入初始資金,最后又通過 Tornado.Cash 順利將獲利資金轉出。
此次攻擊是由于 Zabu Finance 的抵押模型與 SPORE 代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。
Metaverse(元宇宙)這一概念源于美國作家 Neal Stephenson 于 1992 年出版的科幻小說《雪崩》(Snow Crash).
1900/1/1 0:00:00在當前加密貨幣市場中,公鏈賽道上的“選手”不在少數。我們看到,既有像波卡(Polkadot)、Cosmos、Nervos、IRISnet這些跨鏈概念公鏈,也有諸如Algorand、Tezos、P.
1900/1/1 0:00:00區塊鏈的透明度和可追溯性超過了世界上的絕大多數系統,但是在這背后仍然存在著看不見的博弈,MEV(礦工可提取價值/最大可提取價值)就是隱藏的黑暗森林。在每一筆交易背后都可能有它的身影.
1900/1/1 0:00:00會搖滾的石頭?NFT在國外又有新玩法。 iNFTnews.com消息,你有沒有想過,你會看到搖滾 NFT?信不信由你,它們確實存在!一個名為 EtherRock 的 NFT 巖石現在正在出售,人.
1900/1/1 0:00:00Outlier Ventures 首席執行官兼創始人 Jamie Burke 和協議實驗室生態系統負責人 Colin Evran 談到了 Web3 未來去中心化存儲的商業機會.
1900/1/1 0:00:00不到1小時?CryptoGladiator在OEC注冊地址數已達到3萬個。幣圈的變化真的太快了,可能前一段時間還在參與DEFI挖礦,現在可能全民GameFi“邊玩邊賺”了.
1900/1/1 0:00:00