以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > FTX > Info

慢霧發布BonqDAO項目攻擊事件簡析_USD

Author:

Time:1900/1/1 0:00:00

慢霧安全團隊發布了BonqDAO項目攻擊事件簡析,此次攻擊的根本原因在于攻擊者利用預言機報價所需抵押物的成本遠低于攻擊獲得利潤從而通過惡意提交錯誤的價格操控市場并清算其他用戶。攻擊者獲得了大量的WALBT和BEUR代幣。截止目前,94.6萬ALBT已被兌換為695ETH,55.8萬BEUR已被兌換為53.4萬DAI。黑客仍在持續兌換ALBT為ETH,暫未發現資金轉移到交易所等平臺。

慢霧旗下Web3安全工具MistTrack已集成GPT:5月6日,據官方公告,慢霧旗下 Web3 安全工具 MistTrack 已集成 GPT,GPT 將會幫助對 AML 風險評分、交易行為分析、地址概況分析和交易時間分析等提供詳細的解釋。[2023/5/6 14:47:20]

具體分析如下:1.BonqDAO平臺采用的預言機來源是TellorFlex自喂價與Chainlink價格的比值,TellorFlex價格更新的一個主要限制是需要價格報告者先抵押10個TRB才可以進行價格提交更新。而在TellorFlex中可以通過updateStakeAmount函數根據抵押物的價格進行周期性的更新價格報告者所需抵押的TRB數量。2.由于TellorFlex預言機合約的TRB抵押數額一開始就被設置成10個,且之后沒有通過updateStakeAmount函數進行更新,導致攻擊者只需要抵押10個TRB后就能成為價格報告者并通過調用submitValue函數修改預言機中WALBT代幣的價格。3.攻擊者對價格進行修改后調用了Bonq合約的createTrove函數為攻擊合約創建了trove,該trove合約的功能主要是記錄用戶抵押物狀態、負債狀態、從市場上借款、清算等。4.緊跟著攻擊者在協議里進行抵押操作,接著調用borrow函數進行借款,由于WALBT代幣的價格被修改而拉高,導致協議給攻擊者鑄造了大量BEUR代幣。5.在另一筆攻擊交易中,攻擊者利用上述方法修改了WALBT的價格,然后清算了市場上其他存在負債的用戶以此獲得大量的WALBT代幣。6.根據慢霧MistTrack分析,1.13億WALBT已在Polygon鏈burn并從ETH鏈提款ALBT,后部分ALBT通過0x兌換為ETH;部分BEUR已被攻擊者通過Uniswap兌換為USDC后通過Multichain跨鏈到ETH鏈并兌換為DAI。

慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

此前今日早些時候消息,BonqDAO和AllianceBlock在攻擊事件中損失8800萬美元。

聲音 | 慢霧余弦:研究加密貨幣是出于技術熱愛:區塊鏈安全公司慢霧創始人余弦發微博稱,研究加密貨幣是出于技術熱愛,這些年其實研究了不少主流幣種還有些小幣種,多少都發現了些問題,其中有不少是安全問題。后來聯合創建了慢霧科技 ,致力于做好區塊鏈生態的安全。我提 MimbleWimble 的隱私與安全問題,不代表我不喜歡 Grin 和 BEAM,反而我在持續持有,就好像我很早就研究門羅幣、Zcash 的安全問題,我也在持續持有它們。有漏洞根本不是什么大問題,不改進不進化才是大問題。我盡量客觀做好安全技術研究,輸出的觀點千萬不要過度解讀,尤其不要解讀出“做多做空”,投資加密貨幣的討論,我一概不參與、不站臺、不背書。[2019/3/24]

Tags:USDLBTSDCUSDCusdp幣交易違法嗎LBTCAUSDC價格CUSDC幣

FTX
Blur發布版稅更新政策,包括鼓勵創作者不使用OpenSea_BLU

據Blur官推發布公告,該NFT市場宣布更新版稅政策,其中概述了創作者版稅一些選擇,每一種都會對Blur、創作者和OpenSea產生不同的影響,主要涉及四種情況:1、如果藏品不禁用Block.

1900/1/1 0:00:00
Klaytn關于“銷毀74.8億枚KLAY儲備中的52.8億枚KLAY”提案已開啟投票_KLAY

據官方博客,Klaytn基金會發布“建立可持續和可驗證的KLAY代幣經濟”的提案,提議立即銷毀和移除最初發行儲備約74.8億枚KLAY中過去3年零8個月未使用的52.8億枚KLAY.

1900/1/1 0:00:00
Circle歐盟事務總監:歐洲議會就《歐盟數據法》達成初步協議,其中包括對智能合約的監管_CIR

USDC發行商Circle的歐盟政府事務高級總監JonasFrederiksen發推表示,歐洲議會已就其對《歐盟數據法》的談判立場達成初步協議,其中包括對智能合約的監管.

1900/1/1 0:00:00
美國法官拒絕在SBF保釋條件中放寬對其通訊限制的請求_比特幣

據Decrypt報道,美國紐約南區地方法院法官LewisA.Kaplan駁回了前FTX首席執行官SamBankman-Fried的律師提出的允許SBF再次進行電子通訊的請求.

1900/1/1 0:00:00
原美團聯創王慧文出資5000萬美元進軍人工智能,稱將打造中國的OpenAI_FUD

據鳳凰網科技報道,原美團聯合創始人王慧文在社交平臺發文宣布進軍人工智能領域,稱將打造中國的OpenAI。其發文中透露,將成立北京光年之外科技有限公司,王慧文出資5000萬美元,估值2億美元.

1900/1/1 0:00:00
Render Network基金會:1260萬枚RNDR將于今年上半年定期解鎖_REN

據官方博客,RenderNetwork基金會公布RNDR代幣分配和解鎖情況。RenderNetwork表示,去年提出RNP-001提案時,財庫錢包余額為2.57億枚RNDR,其中1.07億枚應分.

1900/1/1 0:00:00
ads