以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > BNB價格 > Info

貍貓換太子?慢霧拆解DODO被黑細節_USD

Author:

Time:1900/1/1 0:00:00

據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析

DeFi基礎設施Earn Network完成270萬美元融資:6月21日消息,DeFi基礎設施Earn Network完成270萬美元種子輪融資,Shima Capital領投,參投方包括DFG、Jsquare、LD Capital、Cronos Labs、GTS Ventures、Bixin Ventures、ViaBTC Capital、MarsDAO和Mirana Ventures等。本輪融資將用于產品開發以及招聘等。[2023/6/21 21:52:44]

通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。

美國利率期貨顯示交易員在美聯儲決定后已經定價6月和7月會暫停加息、9月會進行降息:金色財經報道,根據FedWatch數據,美國利率期貨顯示交易員在美聯儲決定后已經定價6月和7月會暫停加息、9月會進行降息。[2023/5/4 14:41:06]

為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:

SmartMoney地址今日將1萬枚ETH存入Compound借入320萬枚USDC并轉入Binance:4月22日消息,據 Lookonchain 監測,某 SmartMoney 地址今日在 Compound 平臺存入 1 萬枚 ETH(價值約 1860 萬美元)后借入 320 萬枚 USDC 并轉移至 Binance。

據 Lookonchain 長期追蹤數據顯示,該地址主要操作模式為高拋低吸 ETH,并長期以此為盈利手段,故推斷本次轉入 Binance 的 320 萬 USDC 或將用于購買 ETH。[2023/4/23 14:20:46]

合成資產協議Synthetix已升級至Algol版本:6月24日消息,合成資產協議Synthetix已于北京時間2022年6月23日15:00升級至Algol版本,該版本添加了SIP-251,分別將抵押貸款清算罰款比例和SNX質押強制清算罰款比例定為10%和30%。[2022/6/24 1:28:33]

通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。

到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:

通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程

1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結

本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e

Tags:USDSDTUSDTRESUSDT幣下戴usdt幣提現到銀行卡會凍結嗎usdt幣怎么獲得Retrogression

BNB價格
通俗化解析以太坊Layer2_LAYER

鑒于網絡媒體上很多人從技術角度具體講解了Layer2技術的實踐與區別。本文將會以通俗的話語講解layer2.

1900/1/1 0:00:00
ShuttleFlow 2.0 Lightpaper:賦能多鏈同質資產融合治理_Conflux

摘要 加密數字資產,基于去中心化的共識機制發行在公鏈之上,穿梭在去中心化應用之間,是區塊鏈世界中必不可少的價值通證。然而不同的公鏈系統彼此獨立,不同鏈上的資產也如孤島般互不相通.

1900/1/1 0:00:00
不可思議,俄羅斯軍隊在西伯利亞挖比特幣_比特幣

太太太太不可思議了,在全球無數的比特幣礦工中,你恐怕沒想到會有這么一個超級玩家——俄羅斯軍隊!新華每日電訊消息,據俄國防部《紅星電視臺》報道,在西伯利亞伊爾庫茨克附近的一個水電站.

1900/1/1 0:00:00
Filecoin礦工四種收益模式及收益變化趨勢解析_FIL

Filecoin自面世以來就是明星項目,受到市場的廣泛關注,且隨著主網的上線,加入Filecoin網絡的礦工也越來越多。而收益是全網礦工都十分關心的問題.

1900/1/1 0:00:00
多個DeFi項目遭遇DNS劫持,請務必保護好你的私鑰和助記詞_TWO

編者按:本文來自巴比特資訊,作者:Apatheticco,星球日報經授權發布。本周,幣安智能鏈上多個DeFi項目網站遭遇DNS劫持攻擊,其中包括借貸平臺CreamFinance和BSC頭部DEX.

1900/1/1 0:00:00
Gavin Wood 的故事:低調的區塊鏈先驅和真正的創造者_VIN

對于大眾來說,“GavinWood”這個名字暫時還沒有“中本聰”、“V神”那么家喻戶曉。但在很多區塊鏈開發者的心中,他卻是傳奇程序員和技術領袖.

1900/1/1 0:00:00
ads