北京時間2022年4月15日11點18分,CertiK審計團隊監測到RikkeiFinance被攻擊,導致約合701萬元人民幣資產遭受損失。
由于缺乏對函數`setOracleData`的訪問控制,攻擊者將預言機修改為惡意合約,并獲取了從合約中提取USDC、BTCB、DAI、USDT、BUSD和BNB的權限。攻擊者隨后將這些代幣全部交易為BNB,并通過tornado.cash將這些BNB轉移一空。
?攻擊步驟
①攻擊者向rBNB合約發送了0.0001個BNB以鑄造4995533044307111個rBNB。
②攻擊者通過公共函數`setOracleData()`將預言機設置為一個惡意的預言機。
③由于預言機已被替換,預言機輸出的rTokens價格被操縱。
馬斯克再次發布狗狗幣推文或暗示呼吁加密社區團結:金色財經報道,狗狗幣DOGE支持者、特斯拉首席執行官Elon Musk在社交媒體發文“Cry ‘Havoc!’ and let slip the Doges of war”(呼喊“浩劫!”,進入 DOGE 戰爭),或暗示呼吁加密社區團結。目前,多個加密社區賬號在該推文下留言,比如FLOKI回復稱“FLOKI 已經準備好了!”。馬斯克此前多次表達對DOGE的支持,本周回應前推特首席執行官Jack Dorsey發布關于加密貨幣的帖子,馬斯克也發布了“DOGE ftw”推文,代表“DOGE for the win”。[2023/6/11 21:29:47]
④攻擊者用被操縱的價格借到了346,199USDC。
⑤攻擊者將步驟4中獲得的USDC換成BNB,并將BNB發送到攻擊合約中。
DMG Blockchain Solutions 5月產出70.5枚BTC:6月9日消息,區塊鏈和加密貨幣技術公司DMG Blockchain Solutions在今年5月以0.78 EH/s的算力產出70.5枚BTC。截至5月31日,DMG的比特幣余額為507枚。(Globenewswire)[2023/6/9 21:27:08]
⑥攻擊者重復步驟4和5,耗盡BTCB、DAI、USDT和BUSD。
⑦攻擊者使用函數`setOracleData()`再次改變預言機,還原了該預言機的狀態。
合約漏洞分析
SimplePrice預言機?:?
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
觀點:DOGE適合作為打賞代幣:1月12日消息,Bitcoin Magazine在社交媒體上稱,Twitter將推出應用于打賞的虛擬資產Coins。對此,小牛精選特邀分析師保羅大帝認為,之前,馬斯克構想了基于區塊鏈的推特,將tweets嵌入到交易評論中,用戶必須為每條評論或轉發的評論支付 0.1 Doge。0.1Doge既可以防止Twitter垃圾賬號和信息,打賞的成本也不高。總體而言,DOGE 就非常適合作為打賞代幣的。
Twitter將成為全球用戶體量最大的web3公司,推動web3和加密行業的發展,后續預計會有更多的企業跟進。另外,DOGE今年3月份進行1.21升級icon。[2023/1/12 11:08:28]
Cointroller:?https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code
Merkle Manufactory完成3000萬美元融資,a16z領投:金色財經報道,Merkle Manufactory在由Andreessen Horowitz (a16z) 領投的一輪融資中籌集了3000 萬美元,將用于開發名為 Farcaster 的去中心化社交網絡協議。 Standard Crypto、Elad Gil、1confirmation、Scalar Capital、First Round Capital、Volt Capital等參投。據悉,Merkle Manufactory由前Coinbase高管 Dan Romero創立,并正在努力推出Farcaster,這是一種用于構建社交網絡的“充分去中心化”協議。(The Block)[2022/7/13 2:10:53]
資產地址:?Rtoken0x157822ac5fa0efe98daa4b0a55450f4a182c10ca
新的預言機:?
0xa36f6f78b2170a29359c74cefcb8751e452116f9
原始價格:416247538680000000000
更新后的價格:416881147930000000000000000000000
RikketFinance是利用Cointroller中的SimplePrice預言機來計算價格的。然而,函數`setOracleData()`沒有權限控制,也就是說它可以被任何用戶調用。攻擊者使用自己的預言機來替換原有的預言機,并將rToken的價格從416247538680000000000提升到4168811479300000000000000。
資產去向
攻擊者在兩次交易中獲得了2671枚BNB。攻擊者已使用tornado.cash將所有的代幣進行了轉移。
其他細節
漏洞交易:
●?https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44?
●?https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
相關地址:
●攻擊者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻擊者合約:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●惡意預言機:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●攻擊者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻擊者合約:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●惡意預言機:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●被攻擊預言機地址:
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
寫在最后
該次事件可通過安全審計發現相關風險。CertiK的技術團隊在此提醒大家,限制函數的訪問權限是不可忽略的一步。
原標題:加密之「眼」:Worldcoin正在推動一場社會學實驗 作者:Jiawei?? 據tripleA估算,截至2021年,全球擁有超過3億加密貨幣用戶,平均擁有率為3.9%.
1900/1/1 0:00:00前兩天,微策略的創始人和首席執行官MichaelSaylor接受Washingtonian的CEOCathyMerrill的視頻采訪對話,談論他對比特幣的看法和觀點.
1900/1/1 0:00:00整理|Rachel 火星編輯時刻 《縱覽紅杉加密投資版圖:共投資68起,布局明顯加速》加密貨幣將成為未來20至30年最大的趨勢,紅杉資本在美國和歐洲的新投資中有20%是加密貨幣項目.
1900/1/1 0:00:00本期直播主持人是聚幣JubiMandy,邀請到的分享嘉賓是Zilliqa中國區負責人Galin。本期直播訪談主題:聚幣JubiLive|Zilliqa-Web3時代的宇宙心臟.
1900/1/1 0:00:00KeyTakeaway 4月16-18日,Moonbirds交易量占整個NFT交易市場的25%,同時伴隨著Moonbirds價格的快速上漲,掛單率良好、且巨鯨參與度較高.
1900/1/1 0:00:00從創業者的角度,一些大火的NFT項目到底是怎么打造的?需要考慮哪些維度?路徑可否復制?本文給出了很好的思考框架及要點.
1900/1/1 0:00:00