據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊分析如下:1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代幣;2.攻擊者在兌換的同時也進行閃電貸操作,因此vSwap合約會將兌換的vBSWAP代幣與閃電貸借出的WBNB轉給攻擊者;3.而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的tokenWeight0參數是否為50來選擇不同的算法來檢查池子中的代幣數量是否符合預期;4.由于vSwap合約的tokenWeight0參數設置為70,因此將會采用第二種算法對池子中的代幣數量進行檢查;5.而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;6.第二種算法是通過調用formula合約的ensureConstantValue函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;7.在通過對此算法進行具體分析調試后我們可以發現,在使用WBNB兌換最小單位(即0.000000000000000001)vBSWAP時,池子中緩存的WBNB值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;8.因此攻擊者可以轉入WBNB進行最小單位的vBSWAP代幣兌換的同時,將池子中的大量WBNB代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過vSwap的檢查;9.攻擊者只需要在所有的vSwap池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。
慢霧初步分析得出黑客攻擊Eminence流程:9月29日消息,區塊鏈安全團隊慢霧根據初步分析,得出了黑客攻擊Eminence的流程:
1. 攻擊者購買了 1500w個DAI,換取約1383650487個EMN,并轉移1500w個DAI到EMN 合約中。
2. 拿換取的一半EMN到 eAAVE合約中burn 掉(調用buy函數),換取eAAVE中的通證。eAAVE中調用buy函數時會燃燒EMN合約中的對應代幣,但是合約中的DAI沒有減少。
3. 把剩余的一半EMN到EMN合約中賣掉,換取1000w個DAI,由于上一步燃燒EMN的時候EMN合約中的DAI的金額沒有減少,所以相同份額的EMN能從合約中取回更多的 DAI。
4. 把eAAVE合約中換取的通證賣掉,取回約600w個EMN。
5. 繼續把600w個EMN賣掉,換回約660w個DAI。
相關合約:
EMN:0x5ade7ae8660293f2ebfcefaba91d141d72d221e8
Bancor合約:0x16f6664c16bede5d70818654defef11769d40983
eAAVE: 0xc08f38f43adb64d16fe9f9efcc2949d9eddec198
交易分析源頭點擊原文鏈接。[2020/9/30]
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
聲音 | 慢霧預警:攻擊者喊話所有鏈上偽隨機數(PRNG)都可被攻擊:攻擊者 floatingsnow 向自己的子賬號 norealrandom、dolastattack 轉賬并在 memo 中喊話:hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num
從賬號名稱和 memo 可知攻擊者對目前 EOS DApp 鏈上隨機數方案了如指掌,攻擊者指出 tapos_block_prefix/tapos_block_num 均不安全,并提議 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]
根據Square周四發布的財報,其旗下CashApp在2021年第一季度創造35.1億美元的比特幣收入和7500萬美元的比特幣毛利潤,分別增長至去年同期的11倍.
1900/1/1 0:00:00尊敬的用戶: WBF即將在開放區上線KAKI/USDT交易對,并開放充值,提幣暫不開啟,具體上線時間為:充值時間:2021/5/7?22:30交易時間:2021/5/7?23:00Symbios.
1900/1/1 0:00:00Gate.io將于5月8日12:00上線第15期BTC鯊魚鰭理財產品,年化收益為浮動利率3-16%,總額度300BTC,鎖倉期限6天.
1900/1/1 0:00:00親愛的AAX用戶: 為了豐富您的理財產品選擇,AAX理財寶目前已正式上線多個小幣種的活期理財及定期理財產品.
1900/1/1 0:00:00活動時間:2021年5月7日15:00——2021年5月14日15:00狂歡一、新用戶充值交易,分$13,750美元活動期間注冊并完成實名認證的新用戶,活動期間完成下列任意一項任務.
1900/1/1 0:00:00尊敬的用戶: BiKi余幣寶將于05月06日21:30開啟第60期USDT機槍池理財,預期年化收益18%.
1900/1/1 0:00:00