以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

黑客開啟狂飆模式:Platypus閃電貸攻擊,盜走900萬美元_USD

Author:

Time:1900/1/1 0:00:00

北京時間?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平臺Platypus?Finance遭遇閃電貸攻擊,被盜走約900?萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約?900?萬美元。

攻擊步驟

三次攻擊,我們將選擇金額最大的用來解析流程:

1.攻擊者將閃電貸獲得的?4400?萬?USDC?存入?PlatypusUSDC?池,并獲得?4400?萬LP-USDC。

2.攻擊者將這?4400?萬?LP-USDC?存入?MasterPlatypusV?4?。

游戲公司雷蛇被黑,黑客索要10萬美元的加密貨幣:金色財經報道,游戲硬件公司雷蛇(Razer)據稱遭遇數據泄露,黑客在一個論壇尋求以10萬美元(合134,898新元)加密貨幣的價格出售被盜數據,其中包括標記為“zVault”的文件夾(Razer的數字錢包,于2018年12月被Razer Gold取代)以及與其獎勵系統相關的加密密鑰。攻擊者聲稱已訪問超過400,000個Razer Gold賬戶,并指定任何交易都必須使用注重隱私的加密貨幣門羅幣進行。

Razer表示,它已經意識到潛在的違規行為,并且正在開展調查。該公司尚未確認客戶的信用卡詳細信息是否也被泄露。[2023/7/10 10:46:07]

3.該平臺的借貸限額被設置為?95%?,這意味著攻擊者最多可以用他們的?4400?萬?LP-USDC?借到大約?4180?萬?USP。

數據:2022年前11個月黑客竊取加密貨幣價值已達43億美元,較去年同期增長37%:金色財經報道,根據網絡安全公司Privacy Affairs最新發布數據顯示,從2022年1月到2022年11月,黑客竊取的加密貨幣價值高達43億美元,比2021年同期增長37%,其中規模最大的黑客攻擊包括:AxieInfinity(6.25億美元)、Wormhole(3.2億美元)、Nomad Bridge(1.9億美元)Beanstalk(1.82億美元)和Wintermute(1.6億美元)。(blockworks)[2022/12/27 22:09:47]

4.攻擊者在?PlatypusTreasure?合約中調用了borrow來鑄造大約?4180?萬?USP。

數據:區塊鏈黑客累計盜取資產近150億美元:據慢霧發布的“被黑檔案庫”統計,截至6月20日,區塊鏈黑客共竊取了 149.92 億美元的資產。累計發生黑客事件429起,EOS DAPP最多,共118起。交易所其次,共99起。以太坊DAPP位居第三,共91起。[2021/6/20 23:50:40]

5.由于借來的?USP?數額沒有超過限額,協議的isSolvent值將總是返回?true。

6.由于isSolvent變量為?true,攻擊者可以調用EmergencyWithdraw來提取其質押的?4400?萬?LP-USDC?全部資金。

7.攻擊者在支付了移除流動性的手續費用后,總共提取了?43,?999,?999,?921,?036USDC。

8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約?850?萬美元。

2,?425,?762USDC

1,?946,?900USDC.e?

1,?552,?550USDT

1,?217,?581USDT.e

687,?369BUSD

691,?984DAI.e?

在撰寫本文時,共大約?900?萬美元被盜。其中攻擊者部署的合約中仍有價值?850?萬美元的資產;171,?000?美元在攻擊者的地址;399,?400?美元在一個?Aave?池。

漏洞分析

造成該事件的漏洞在于?MasterPlatypusV?4?合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的?95%?的借款限額,那么solvent的值將為?true。

然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計,可以發現該設計缺陷問題。

本次事件的預警已于第一時間在?CertiK?官方推特進行了播報。歡迎大家隨時關注?CertiK?官方推特,獲取更多與漏洞、黑客襲擊以及?RugPull?相關的社群預警信息。

Tags:USDSDCUSDCENTusdc幣是誰發行的usdc幣與usdt幣哪個好AGENTSHIBAINU價格

抹茶交易所
SUDO(sudoswap)項目解析—幣贏研究院_SUDO

SUDO(sudoswap)項目解析 1.?研究院點評 盡管有uniswap的加持,但是sudoswap日均成交額只有400萬美金,相對opensea的交易量還是冰山一角.

1900/1/1 0:00:00
ZKE將上線 DUSK 永續合約_POL

注意: ?根據市場風險狀況,ZKE可能調整合約參數,包括調整最小變動價格、最大杠桿、初始保證金、維持保證金等重要參數.

1900/1/1 0:00:00
Huobi Will List TCNH (TrueCNH) on February 21, 2023_Huobi

DearValuedUsers,HuobiisscheduledtolistTCNH(TrueCNH)onFebruary21.

1900/1/1 0:00:00
風險市場走弱 BTC和ETH隨歐洲股市上漲 虧損籌碼拋壓減少_BTC

納指期貨盤前下跌的趨勢有些擴大,主要還是因為昨天梅斯特和布拉德提出加息50建議,激發了市場偏利空的一面,尤其是CPI和PPI雙重數據夾擊下,多方市場仍然需要情緒面的提振.

1900/1/1 0:00:00
Shibarium測試版將于本周上線:謠言還是現實?_SHI

ShibaInu首席開發者ShytoshiKusama說Shibarium測試版將在未來7天內上線?這是真的還是另一個虛假警報?自2023年2月初以來,幣圈小伙伴們一直坐等看市場新敘事.

1900/1/1 0:00:00
如何將Binance-peg TRX轉換為BTTC-bridged版TRX_TRX

Binance-pegTRX正在遷移到?BTTC-bridged?版?TRX。在本指南中,我們將提供操作說明,幫助您完成新舊版本的轉換.

1900/1/1 0:00:00
ads