以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > AVAX > Info

慢霧分析 Zabu Finance 遭閃電貸攻擊:抵押模型與 SPORE 代幣不兼容所致_ABU

Author:

Time:1900/1/1 0:00:00

鏈聞消息,2021年9月12日,Avalanche上ZabuFinance項目遭受閃電貸攻擊,慢霧安全團隊針對此過程進行分析,具體攻擊步驟如下:1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備;2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行「抵押/提現」操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中慢霧注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量;3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過「抵押/提現」操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值;4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售;此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。參考:攻擊合約1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400攻擊合約2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb攻擊交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3獲利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

聲音 | 慢霧分析:以太坊“君士坦丁堡”和“圣彼得堡”硬分叉成功:據慢霧實時監測以太坊“君士坦丁堡”和“圣彼得堡”硬分叉成功。目前通過 Geth 和 Parity 節點觀察到在區塊高度 7280000 之后出塊穩定,說明以太坊硬分叉已經成功,中間由于最后五分鐘用戶訪問量過大導致 Etherscan 和 ethdevops 網站無法訪問,說明大家還是很關注本次以太坊升級的。同時慢霧也提醒大家不要過于激動,分叉是成功了,未來會遇到什么問題目前都是不確定的,希望大家繼續保持關注。[2019/3/1]

聲音 | 慢霧科技余弦:所有數字貨幣項目方應完整review所有第三方模塊:據IMEOS報道,慢霧科技余弦提醒所有數字貨幣相關項目(如交易所、錢包、DApp 等)都應該強制至少一名核心技術完整 review 一遍所有第三方模塊,看看是否存在可疑代碼,也可以抓包看看是否存在可疑請求。供應鏈攻擊不計代價,數字貨幣依然炙手可熱。

比如最新發現的: Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]

動態 | 慢霧區預警: ETH 存在惡意消耗 Gas 攻擊:根據慢霧區情報,慢霧安全團隊在 Twitter 上關注到以太坊漏洞問題,通過深入分析發現:如果用戶在交易所提幣或者通過錢包轉賬的時候,若沒有設置 GasLimit 上限,當接收地址為合約地址的話將會導致惡意 Gas 消耗,慢霧安全團隊第一時間通知了服務的交易所和錢包用戶并提供了情報和解決方案:

(1)用戶提幣的時候判斷是否是合約地址,如果是合約地址則不允許提幣。

(2)轉賬的時候設置 GasLimit 上限,此處上限需要根據交易所實際業務場景設置如:6 萬? - 10 萬(推薦值 ETH: 90000 token: 150000)

投資有風險,入市須謹慎。

本資訊不作為投資理財建議。[2018/11/14]

Tags:ABUPORSPOREOREABUSD價格por幣葡萄牙國家隊SPORE價格ECOREAL

AVAX
歐易OKEx關于支持Cardano (ADA) 硬分叉升級的公告_okex

尊敬的歐易OKEx用戶:由于ADA將進行硬分叉升級,ADA將按計劃于網絡290出塊時期進行?(預計時間2021年9月13日05:44?HKT).

1900/1/1 0:00:00
CoinBene合約的攻與守:全球擴張 安全創新_COIN

中心化交易所下滑的流量,迎來轉折。區塊鏈分析公司Glassnode披露,比特幣衍生品市場的期貨和期權未平倉合約量正在與價格一起攀升,達到短期新高,上周期貨合約開倉量增加10億美元.

1900/1/1 0:00:00
AOFEX關于開啟\"?秋季嘉年華,狂歡送福利,領100,000USDT\"活動的公告_FEX

尊敬的用戶: 為回饋全球用戶一直以來對AOFEX的支持和信任,現特此開啟“秋季嘉年華,狂歡送福利,領100,000USDT”活動,玩轉嘉年華,領狂歡福利,快樂無上限,活動共計發放10萬USDT.

1900/1/1 0:00:00
非小號PC端正式上線,防掉線必備!_AVA

為了讓大家在電腦端使用更順暢,我們正式推出了非小號PC端應用。下面教大家如何下載,以及可能遇到的問題及處理方法.

1900/1/1 0:00:00
北美頭部上市礦企年內迄今已產出超1萬枚BTC_比特幣

本文來自The?Block,原文作者:WolfieZhaoOdaily星球日報譯者?|念銀思唐 BTC.

1900/1/1 0:00:00
關于AOFEX開啟月度“王牌市商爭奪賽”活動的公告_OTC

尊敬的全球OTC市商: 感謝全球OTC市商的支持,為營造更好的OTC交易體驗,提升平臺服務質量,AOFEX特開啟全球OTC市商月度“王牌市商爭奪賽”.

1900/1/1 0:00:00
ads