以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

OUSD遭經典重入攻擊損失770萬美元 DeFi安全亟待解決_穩定幣:鑄造穩定幣

Author:

Time:1900/1/1 0:00:00

摘要:PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到重入攻擊,造成價值770萬美元的損失。

近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊(Re-entrancyattack),造成價值770萬美元的ETH和DAI的損失。

重入攻擊是以太坊智能合約上最經典的攻擊手段之一,著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失價值5000萬美元以太幣。

自今年4月起,DeFi項目頻遭重入攻擊。4月18日,黑客利用Uniswap和ERC777標準的兼容性問題缺陷實施重入攻擊;4月19日,Lendf.Me也遭到類似重入攻擊;11月14日,黑客利用Akropolis項目的SavingsModule合約在處理用戶存儲資產時存在的某種缺陷連續實施了17次重入攻擊,損失203萬枚DAI。

Curve社區啟動重新優化tricryptoUSDT參數的投票:金色財經報道, DeFi 流動性協議 Curve Finance 官方社交媒體宣布社區已啟動重新優化 tricryptoUSDT 參數的投票。根據相關提案,首先會將 Tricrypto 池的 trcicryptoUSDT 參數進行更改,然后觀察與 tricryptoUSDC 相比的表現,如果結果穩定則擬將其參數和 TricryptoLLAMA 更改為相同的參數。該參數優化完成后,Tricrypto 池的 APY 預計將會達到3% 到 5% 之間,預計一定程度上能與 tricrypto2 的 APY 表現相匹配。[2023/9/4 13:16:46]

北京時間2020年11月17日,PeckShield監控到穩定幣OUSD遭到重入攻擊。OUSD是OriginProtocol推出的一種與美元掛鉤的ERC-20穩定幣,用戶可通過將基礎穩定幣存入Origin智能合約來鑄造OUSD穩定幣,之后該協議會將基礎穩定幣投資于多個DeFi協議并進行收益耕作,為OUSD持有者賺取回報。

NFT市場Bubblehouse完成900萬美元種子輪融資,Cassius Family領投:5月24日消息,NFT市場Bubblehouse完成900萬美元種子輪融資,Cassius Family領投,Third Kind VC、SV Angel、Kima Ventures、Watertower Ventures、Ocho Capital等參投。(Silicon Angle)[2022/5/24 3:38:59]

重入攻擊重現憑空創造2050萬枚OUSD

PeckShield通過追蹤和分析發現,首先,攻擊者從dYdX閃電貸貸出70,000枚ETH;

隨后,在UniswapV2中先將17,500枚ETH轉換為785萬枚USDT,再將所貸剩余的52,500枚ETH轉換為2099萬枚DAI;

Impervious.ai完成種子輪融資,CoinShares、NYDIG參投:4月15日消息,基于閃電網絡的點對點網絡基礎設施Impervious.ai完成種子輪融資,CoinShares、NYDIG、XBTO Humla Ventures Fund、Jungle Boys Capital、Bitcoiner Ventures 和 Lightning Ventures等參投。該筆融資將用于擴大團隊,以開發更多產品,包括移動瀏覽器和基于 Impervious 瀏覽器的新應用套件。

據悉,Impervious 作為比特幣閃電網絡的編程層,為比特幣閃電網絡的實時支付協議增加了點對點通信和數據傳輸功能。(prnewswire)[2022/4/15 14:27:05]

接下來,攻擊者分四次鑄造OUSD穩定幣:

YouSwap將于4月12日新增USDT-OFC和YOU-OFC流動性挖礦:據官方消息,去中心化交易所YouSwap 將于4月12日20時上線OFC流動性挖礦,用戶可以通過向USDT-OFC和YOU-OFC兩個交易對提供流動性進行YOU挖礦。

OFC是英雄聯盟HUT是美國英雄聯盟基金會發起,由曾任職于美國拳頭游戲(Riot Games)和以太貓(Cryptokitties)技術極客團隊聯合開發。是基于去中心化金融(DEFI)的社區自治游戲生態系統,實現智能合約DAPP和社區自治(DAO),去中心化交易(DEX)以及非同質化通證(NFT)為一體的項目。[2021/4/12 20:09:44]

第一次通過mint函數鑄造OUSD時,攻擊者確實在Origin智能合約中存放了750萬枚USDT,并獲得750萬枚OUSD;

第二次通過mintMultiple多種穩定幣函數鑄造OUSD時,攻擊者在Origin智能合約中存放了2050萬枚DAI和0枚假“穩定幣”,并在此步驟中通過重入攻擊來攻擊合約。攻擊者將2050萬枚DAI和0枚假“穩定幣”存入VaultCore中,此時智能合約收到2050萬枚DAI,在嘗試接收0枚假“穩定幣”時,攻擊者利用惡意合約進行劫持,在智能合約正常啟動鑄造2050萬枚OUSD之前,調用mint函數,先惡意增發了2050萬枚OUSD,此次惡意增發由VaultCore合約調用rebase函數實施。

值得注意的是,為順利實施劫持,攻擊者在上述mint函數調用時,真金白銀地存入了2,000枚USDT,同時獲得第三次鑄幣2,000枚OUSD。隨后,調用oUSD.mint函數第四次鑄造2050萬枚OUSD。

rebase指代幣供應量彈性調整過程,即對代幣供應量進行“重新設定”。在DeFi領域有一類代幣擁有彈性供應量機制,即每個代幣持有用戶的錢包余額和代幣總量會根據此代幣價格的變化而等比例變動。此時,攻擊者共獲得2800.2萬枚OUSD,包括抵押的750萬枚USDT、2050萬枚DAI和2000枚USDT。由于調用rebase函數,攻擊者所獲得的OUSD總計上漲至33,269,000枚。

最后,攻擊者先用所獲得的33,269,000枚OUSD贖回1950萬枚DAI、940萬枚USDT、390萬枚USDC;再在Uniswap中將1045萬枚USDT兌換為22,898枚ETH,將390萬枚USDC兌換為8,305枚ETH,將190萬枚DAI兌換為47,976枚ETH,共計79,179枚ETH,并將其中70,000枚ETH歸還到dYdX閃電貸中。

據PeckShield統計,攻擊者在此次攻擊中共計獲利11,809枚ETH和2,249,821枚DAI,合計770萬美元。

對于次攻擊事件,OriginProtocol官方回應稱,正在積極采取措施,以期收回資金。

隨著DeFi生態的蓬勃發展,其中隱藏的安全問題也逐漸凸顯,由于DeFi相關項目與用戶資產緊密相連,其安全問題亟待解決。

對此,PeckShield相關負責人表示:“此類重入攻擊的發生主要是由于合約沒有對用戶存儲的Token進行白名單校驗。DeFi是由多個智能合約和應用所組成的’積木組合’,其整體安全性環環相扣,平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。”

作者:PeckShield;來自鏈得得內容開放平臺“得得號”,本文僅代表作者觀點,不代表鏈得得官方立場凡“得得號”文章,原創性和內容的真實性由投稿人保證,如果稿件因抄襲、作假等行為導致的法律后果,由投稿人本人負責得得號平臺發布文章,如有侵權、違規及其他不當言論內容,請廣大讀者監督,一經證實,平臺會立即下線。如遇文章內容問題,請發送至郵箱:linggeqi@chaindd.com

Tags:USDOUSD穩定幣USD幣USD價格OUSD價格OUSD幣為什么換穩定幣DAI穩定幣是由哪個國家提出的鑄造穩定幣

芝麻開門交易所下載
星鏈互聯網收費標準出現:馬斯克這定價,打破了多少人的幻想!_馬斯克:馬斯克什么星座

對于馬斯克打造的星鏈互聯網,想必很多人都已經比較了解,主要是因為,正直5G網絡火爆的時期,馬斯克的這波操作,讓很多人感到,太空互聯網簡直太高大上了.

1900/1/1 0:00:00
科普:各個國家的貨幣符號和英文縮寫全解析_YUAN:YUANG幣

MT4當中很少用中文來說明各國貨幣,我們看到的都是各種英文縮寫。常用的貨幣有九個,它們分屬于不同的國家,共同的特征是這些國家經濟實力都很強盛.

1900/1/1 0:00:00
OK區塊鏈60講|第48集:比特幣分叉往事_區塊鏈:ABC幣

來源:新浪科技 03:16我們上節課講了,2017年,隨著以太坊的逐漸發力,一場區塊鏈革命的浪潮,迎面而來。除此以外,這一年還有一件影響比特幣未來走向的大事發生,就是比特幣第一次分叉.

1900/1/1 0:00:00
比特幣大漲 加密貨幣現最新突破?Paypal為客戶提供買賣或持有四個幣種的服務_以太坊:以太坊幣是什么幣

FX68財經報社(倫敦)訊周三,有消息稱支付公司Paypal將為客戶提供買賣或持有四種加密貨幣的服務.

1900/1/1 0:00:00
一萬多家企業,靠年輕人的健康焦慮存活_BND:CBN

投稿來源:螳螂財經 辛巴自己可能都沒想到,會被養生的燕窩搞得“焦頭爛額”。打假人王海的一則檢測報告下來,實錘了辛巴徒弟時大漂亮在直播間售賣的茗摯燕窩基本上就是糖水.

1900/1/1 0:00:00
Qtum量子鏈聯合創始人&CEO帥初:區塊鏈是支撐金融業走向深度數字化的先進和高級工具_區塊鏈:量子鏈區塊鏈工程專業學什么

來源:華夏時報 華夏時報記者吳敏北京報道10月23日,由《華夏時報》、水皮雜談、華夏時報金融研究院以及Cointelegraph中文共同主辦的“探索變革.

1900/1/1 0:00:00
ads