以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > OKB > Info

邏輯漏洞連環擊 攻擊者盯上了 Eleven Finance 這塊羊毛地_ANC

Author:

Time:1900/1/1 0:00:00

北京時間 6 月 23 日,PeckShield「派盾」預警顯示,BSC 鏈上收益聚合器 Eleven Finance 中與 Nerve 相關的機槍池遭到閃電貸攻擊。

PeckShield 「派盾」通過追蹤和分析發現,此次攻擊源于 Eleven Finance 的 Emergencyburn() 計算余額錯誤,且未執行銷毀機制,攻擊者獲利近 460 萬美元。 

有趣的是,幾個小時后,昨天剛從 Impossible Finance 薅得近 50 萬美元的攻擊者,利用 Eleven Finance 的漏洞,通過閃電貸攻擊獲利近 52 萬美元。

Aptos對Devnet進行更新,更新框架中刪除一些Diem遺留和核心邏輯:8月5日消息,Pontem Network聯合創始人兼研發負責人Boris Povod在社交媒體上發文表示,公鏈項目Aptos的Devnet(開發者網絡)近期更新,更新包括默認table不再有長度、可以刪除simple_map、將質押從剩余鎖倉切換為循環鎖倉、區塊高度與事件計數器統一、使用Timestamp :: fast_forward_seconds 增加測試的時間戳等。

Boris Povod稱,此次更新框架中刪除了很多Diem遺留和一些核心邏輯(如模塊發布者白名單和腳本白名單等),提交的新模塊發布機制大部分工作已經完成,包括與模塊更新相關的部分工作仍在進行中。[2022/8/5 12:04:32]

第一個攻擊者創建了 4 個合約,進行了 5 次攻擊。

聲音 | 中行前行長李禮輝:區塊鏈等技術應用正在重構供應鏈內在邏輯:據21財經報道,“互聯網+、大數據,云計算,區塊鏈等新技術的應用,正在重構供應鏈內在的邏輯。”5月19日,在“2019中國供應鏈高峰論壇”上,中國銀行前行長李禮輝在發表主題演講時表示,供應鏈內在邏輯的重構,在技術上是供應鏈數字化的進程,將來完全可能成長為“數字供應鏈”。他解釋稱,供應鏈內在邏輯的重構,主要體現在三個方面:一是從單向鏈接到雙向鏈接,二是從有中介間接鏈接到無中介直接鏈接,三是從商業信任到數字信任。[2019/5/19]

PeckShield 以合約 0x8b29 為例簡述攻擊過程:

聲音 | Joseph Young:巴菲特需從邏輯上解釋比特幣無價值:加密貨幣分析師Joseph Young今日(3月11日)發推表示,如果巴菲特不能從邏輯上解釋為什么他認為比特幣沒有價值,那么這是一種贊美。據此前消息,巴菲特自去年以來就多次在公開場合表達自己不看好比特幣的諸多言論,最近的一次是在2月25日接受CNBC的采訪時稱,比特幣并無特殊的價值。[2019/3/11]

首先,攻擊者從 PancakeSwap 中借出 953,869.6 BUSD,并將其中 340,631.2 BUSD 兌換 474,387.75 NRV;

隨后,攻擊者將 474,378.75 Nerve 和 366,962 BUSD 在 PancakeSwap 中添加流動性,獲得 411,515.3 LP token;

攻擊者將 411,515.3 LP token 放入 Eleven Finance 中與Nerve 相關的機槍池獲得 411,515.3 11 nrvbusd LP token;

當攻擊者提取 Pancake LP token 時,ElevenNeverSellVault 中的 Emergencyburn() 函數本應銷毀 11 nrvbusd LP token 換回 Pancake LP token,但 Emergencyburn() 并未執行 burn (銷毀)這個動作,使得攻擊者利用此邏輯錯誤獲利。

該攻擊者又創建了 0x01ea 合約,借出 30.9 BTCB;0xc0ef 合約借出 285.66 ETH 以及 0x87E9 借出兩筆閃電貸 2,411,889.87 BUSD 和 7,693 BUSD 進行攻擊。

攻擊者通過利用集成的第三方合約功能進行攻擊,這類問題較難檢測到,例如,此前PeckShield「派盾」幫助 Rari Capital 避免更大損失案例一樣,在定位漏洞根源時,由于合約交互容易干擾安全人員的判斷,PeckShield「派盾」建議,開發人員應謹慎與任意第三方協議進行交互。

DeFi 協議開發人員在集成第三方協議并將其部署到生產運行之前,應充分了解合約及其分支項目的運行情況。DeFi 協議開發人員應在項目上線前,先將其部署在測試網上進行測試并及時檢查交易記錄中的異常情況。

“太快了,攻擊者從合約部署,到完成攻擊,甚至到再次發起攻擊,這一系列操作有時候快得讓人有些反應不過來。”PeckShield「派盾」安全人員表示,“因此,事前審計,事中響應,事后提出及時有效的安全方案都是缺一不可的,誰都不知道攻擊者會不會在下一秒發起攻擊。”

Tags:ANCUSDBUSDELDFANCUSDGEarnBUSDYIELD幣

OKB
七大關鍵詞破局:比特幣、碳中和、銀行保險等_比特幣

原文標題:《2021鳳凰網(夏季)財經峰會暨天籟思享薈:七大關鍵詞破局解惑》2021年,注定是不平凡的一年.

1900/1/1 0:00:00
區塊鏈技術與公司治理的融合:價值、路徑和法律因應_區塊鏈

導讀 公司治理領域的代理成本問題根源于信息不對稱。傳統解決方案遵循“制度理性”但效果有限。借助技術賦能,以區塊鏈技術為代表的“技術理性”路徑,從法律執行和實效角度切入問題,通過提升公司透明度,降.

1900/1/1 0:00:00
金色觀察 | 支付寶全面進軍NFT?昨夜16000份NFT被秒搶 更多在路上_NFT

2021年以來,有加密貨幣帶動的NFT概念出圈并大流行。此前幾個月就有傳聞有國內巨頭將攜大流量進軍NFT,并可能帶來NFT新玩法。現在知道了,這家巨頭就是支付寶.

1900/1/1 0:00:00
Polkadot 官方發文:我們離可互操作的多鏈愿景又近一步_POL

Kusama 第一次平行鏈插槽拍賣已經結束,第一批平行鏈已成功連接到 Kusama 中繼鏈,這實現了 Polkadot 白皮書中概述的最后一項核心功能:專門構建的、可互操作的平行鏈.

1900/1/1 0:00:00
Vitalik:區塊鏈信任模型_VIT

大多區塊鏈應用最有價值的屬性之一就是“免信任” (trustlessness),即應用能夠以預期的方式保持運行而無需依賴特定參與者以特定形式行事.

1900/1/1 0:00:00
晚間必讀5篇 | Kusama插槽拍賣開始 我們可以期待什么?_區塊鏈

1.金色觀察|Kusama插槽拍賣開始 我們可以期待什么?據 Kusama 官方消息,經投票通過,Kusama 首個平行鏈插槽拍賣已啟動.

1900/1/1 0:00:00
ads