以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 波場 > Info

Team Finance被黑分析:黑客自建Token“瞞天過海”,成功套取1450萬美元_TEA

Author:

Time:1900/1/1 0:00:00

10月27日,成立于2020年的TeamFinance在官方Twitter發聲,該協議管理資金在由Uniswapv2遷移至v3的過程中遭到黑客攻擊,損失達1450萬美元。

在事件發生后的第一時間,歐科云鏈鏈上衛士團隊憑借超200TB的鏈上數據量儲備,快速對黑客地址進行數據追蹤、手法解析,并及時通過官方渠道反饋TeamFinance分析結果,避免鏈上損失態勢進一步擴大。

據鏈上衛士安全團隊分析,此次受到攻擊的項目方UniswapV2池子有CAW、TSUKA、KNDX、FEG。

集中流動性協議Teahouse Finance宣布完成500萬美元融資,Pantera Capital等參投:4月25日消息,集中流動性協議 Teahouse Finance 在 4 月 24 日宣布獲得新一輪由大東南亞 (GSEA) 創投加速器 AppWorks 領投的 200 萬美元融資,加上此前 2021 年由 Pantera Capital、NGC Ventures、Perpetual Protocol 等參投的一輪融資,目前 Teahouse Finance 已完成 500 萬美元融資。[2023/4/25 14:25:09]

依托于區塊鏈鏈上數據可溯源、不可篡改的特性,鏈上衛士團隊將鏈上追蹤結果以圖表的方式展現,通過黑客資金流向圖,用戶可清晰地了解黑客盜取資金后的動態。

Steam開始禁止NFT和區塊鏈游戲:金色財經報道,由Valve運營的游戲和軟件平臺Steam已開始清除所有涉及NFT或加密貨幣的游戲。Valve的新手入門頁面中添加的更新指出,不應在Steam上發布的應用程序包括“基于區塊鏈技術構建的可發行或允許交換加密貨幣或NFT的應用程序”。[2021/10/16 20:33:16]

準備盜取資金的對象:即需要遷移的幣對FEG-WETH

而取回的幣對卻是黑客創建的無價值的token0:0x2d4abfdcd1385951df4317f9f3463fb11b9a31df和有價值的token1:WETH

動態 | Steam移除涉嫌利用玩家計算機挖礦的游戲:據coindesk援引Motherboard的報道,視頻游戲市場Steam周一因用戶投訴,從其平臺上移除了涉嫌加密挖礦的游戲Abstractism,該游戲劫持游戲玩家的計算機處理能力挖掘加密貨幣。Steam進一步永久在其平臺禁止該游戲的開發商dead.team。據報道,該游戲還試圖通過制造虛假商品來欺騙用戶,以便他們在灰色市場網站上購買或出售以獲取利潤。[2018/8/1]

兩者的不一致,是導致該合約被攻擊的根本原因!

在這一步中,黑客首先通過lockToken鎖倉攻擊token,lockedToken變量會記錄鎖倉詳細信息,其中關鍵字段為withdrawAddress,該字段存在可以滿足后續migrate的權限判斷。

#Step3:

UniswapV3調用v3Migrator.migrate方法,遷移FEG-WETH流動性對。

在這一步中,UniswapV3Migrator合約在接收到TeamFinance中傳入的參數,會遷移UniswapV2的LP,燃燒LP,獲取底層資產$FEG和$WETH,根據轉換參數只有1%進入V3pool,其余99%退還給發送合約,TeamFinance將返回到token發送給攻擊合約。

Step3步驟拆解:

黑客調用TeamFinance得合約進行LP遷移,利用Step1中準備好的withdrawAddress和msgSender吻合,通過權限檢查。

由于TeamFinance的遷移邏輯沒有檢驗交易id與migrateparams的相關關系,黑客通過上面校驗后,真正遷移的是黑客輸入的params參數。

該參數指定的migrate為與黑客鎖倉token無任何關系的FEG-WETH交易對,且遷移數量為TeamFinance持有的全部LP,但參數指定只migrate1%。

此外,相同手法對其它3個流動性池進行了攻擊:

USDC到相關項目方,共計約1340萬美元。

此次攻擊事件,漏洞的本質原因是對輸入參數的校驗邏輯有問題。黑客通過鎖倉毫無價值的token,獲取了調用migrate接口的權限。進一步調用UniswapV3的migrate的參數,完全由黑客輸入,導致可以從其合約內遷移其他LP資產,結合UniswapV3的migrate處理是首先燃燒所有LP資產,再按照輸入的percentage進行遷移,并返還剩余資產,使得黑客可以通過只遷移1%資產,從而竊取剩余99%的資產。

總而言之鏈上安全無小事,歐科云鏈再次提醒:重要函數的參數校驗要仔細。建議在項目上線前,選擇類似鏈上衛士的專業安全審計團隊進行全方位審計篩查,最大化規避項目上線后的安全風險。

Tags:TEATEAMRATFINSteakHut FinanceAmazingTeamDAORATS價格pSTAKE Finance

波場
冷風說幣:加息靴子落地,市場待選方向?2022.11.03_INS

市場消息 凌晨,美聯儲11月議息會議傳來消息,將連續第四次加息75個基點,并暗示可能在接下來的會議上放緩加息步伐.

1900/1/1 0:00:00
狗狗幣擠進市值第六,比特幣今晚能逃過一劫嗎?_狗狗幣

?在19,278.63美元的低點之后,BTC突破了其適度的區間。價格在10月25日星期二飆升至20,295.75美元,第二天飆升至20,866.24美元.

1900/1/1 0:00:00
山寨幣季節正在準備中!以太坊,狗狗幣,ADA大規模反彈的價格_DOGE

加密貨幣持續的熊市使習慣于它的投資者和交易者的生活變得不可預測地復雜化。鑒于熊市是長期極高的市場波動和價格下跌的時期,該行業的現狀并不令人驚訝.

1900/1/1 0:00:00
香港Web3圖鑒:有哪些值得關注的Web3企業?_NFT

10月31日,香港財政司正式發布《有關香港虛擬資產發展的政策宣言》,就在香港發展蓬勃的虛擬資產行業和生態圈,闡明了港府的政策立場、監管方針及試驗計劃等.

1900/1/1 0:00:00
加密市場分析:熊市周期和加密市場突破力量_比特幣

介紹 隨著市場進入第42周,我認為10月和11月是了解下一個市場周期的決定性月份。有兩種情況:最有可能的是BTC在17,000美元至18,000美元的新跌幅后突破.

1900/1/1 0:00:00
金色晚報 | 11月4日晚間重要動態一覽_BTC

12:00-21:00關鍵詞:巴西、GameSpace、Coinbase1.巴西證券監管機構CVM或將創建加密市場監管部門;2.GameSpace成立新基金GameFiFutureFund.

1900/1/1 0:00:00
ads