以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > KuCoin > Info

慢霧分析 AutoShark 被黑:黑客利用 AutoShark 策略池機制分兩步完成攻擊_WBNB:StarSharks SEA

Author:

Time:1900/1/1 0:00:00

鏈聞消息,慢霧區針對幣安智能鏈上DeFi項目AutoSharkFinance被黑分析稱,由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備。整個攻擊其實分成了2步,第2筆攻擊交易的具體攻擊步驟如下:1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。

慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]

慢霧:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息,2022年01月18日,一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]

慢霧:有用戶遭釣魚攻擊,在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息,有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析,此是由于該受害用戶遭受釣魚攻擊,錯誤的對攻擊者精心構造的惡意訂單進行簽名,惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配,并以攻擊者指定的極低價格成交,導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

Tags:SHAARKSHARKWBNBPEPEDASHAI價格Fimi Market Inc.StarSharks SEAwbnb和bnb區別和聯系

KuCoin
關于ZT創新板即將上線LINA,RAMP,BURGER,DEXE的公告_EFI:DeFinomics

尊敬的ZT用戶: ZT創新板即將上線LINA,RAMP,BURGER,DEXE,并開啟LINA/USDT,RAMP/USDT,BURGER/USDT,DEXE/USDT交易對.

1900/1/1 0:00:00
BHEX關于MATIC3S、MKR3S、CELR3S、UNI3S、CHR3S、REEF3S、SKL3S杠桿ETF產品份額合并的公告_HEX:ETF

尊敬的社區用戶: BHEX杠桿ETF產品7x24小時交易,并且市場波動較大,本著對市場影響最小原則,在不影響用戶體驗的情況下,我們將按次數最少化原則對ETF份額進行合并操作.

1900/1/1 0:00:00
幣安上市 Mask Network(MASK)_SYS:globalvillageecosystem

親愛的用戶:幣安將于2021年05月25日14:00上線MaskNetwork,并開通MASK/BNB、MASK/BUSD、MASK/USDT交易市場,邀您體驗!MASK充值通道現已開放.

1900/1/1 0:00:00
Flashbots 發布 V0.2 版引入捆綁合并功能,官方稱可大幅提升每個區塊的利潤_SHB:ethbox Token

鏈聞消息,旨在研究MEV問題的機構Flashbots發布V0.2版本,并引入捆綁合并功能。Ethermine開采了第一個多捆綁區塊.

1900/1/1 0:00:00
Gate.io上線Startup項目Saito(SAITO)及免費認購規則公告(免費瓜分5,000,000個SAITO)_GAT:GATE

關于Gate.ioStartup免費空投計劃為回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
狀元論幣:5月26日行情分析 BTC能否突破40000關口?_IMI:OPTIG幣

大家好,我是狀元,擅長運用波浪理論、K線、布林帶、MACD、市場數據綜合對行情進行專業的分析預測.

1900/1/1 0:00:00
ads