以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > UNI > Info

慢霧:Harvest.Finance 被黑事件簡析_DAI:USDC

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧安全團隊分析,HarvestFinance項目遭受閃電貸攻擊事件主要分為以下幾步:1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費;2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT;3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC,此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中,充值的同時Harvest的Vault將鑄出fUSDC;5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常;6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC;7.隨后攻擊者開始重復此過程持續獲利。慢霧區總結稱,此次攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量,從而使攻擊者有利可圖。

慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]

慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

聲音 | 慢霧:使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息,近日,注意到撞庫攻擊導致用戶數字貨幣被盜的情況,具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測,同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為,被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全,但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系,且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致,這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

Tags:USDDAIUSDCSDCUpbit可以購買usdt嗎2DAI價格usdc幣圈最新消息SDC幣

UNI
火幣礦機商城上線 礦業的游戲規則要變了?_ETH2:ethereal昵稱含義

導語: 成立于2018年的火幣礦池,至今已有2年多的行業積淀。從最初的默默無聞,到打破固化的礦池格局,成功擠入礦圈頭部,火幣礦池也成為POW礦池排名第四、POS礦池排名第一的存在.

1900/1/1 0:00:00
關于火幣全球站正式上線基于以太坊區塊鏈的BSV代幣(HBSV)的公告_BSV:CNFT價格

尊敬的用戶: 為了更好地服務用戶,火幣全球站定于2020年10月24日10:30上線基于以太坊區塊鏈的BSV代幣,開放HBSV的充幣和提幣業務,邀您體驗.

1900/1/1 0:00:00
金色薦讀 | 習近平:加快推動區塊鏈技術和產業創新發展_區塊鏈:ADA

本文于2019年10月25日新華社發表。中共中央局2019年10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習,今天是一周年整,特推薦重新閱讀本文.

1900/1/1 0:00:00
【關于M幣上線熱度過高導致訂單積壓的公告】_ALS:EMRALS

親愛的用戶:BG交易所自上線以來一直以優質的服務及產品體驗領先于全球,時刻保持卓越的產品創新精神,滿足用戶使用需求,增強用戶使用感受.

1900/1/1 0:00:00
為什么在未來幾天這種脫鉤對于比特幣來說是一個好兆頭?_BTC:加密貨幣

在一年的大部分時間里,世界上最大,最占主導地位的加密貨幣比特幣與傳統金融世界有著密切的聯系。實際上,鑒于不確定性不斷增加,并且人們對比特幣作為價值存儲和避險資產的穩健性存在一些猜測,在2020年.

1900/1/1 0:00:00
豐田IT子公司將嘗試使用自己的私有數字貨幣_加密貨幣:YFMoonBeam

豐田汽車公司的全資IT子公司豐田系統今天宣布,它正在與日本加密貨幣交易所DeCurret進行新的試點項目,嘗試一種數字貨幣解決方案.

1900/1/1 0:00:00
ads