BTC/HKD+0.73%
ETH/HKD+0.41%
LTC/HKD+0.34%
DOT/HKD+4%
ADA/HKD+2.34%
SOL/HKD-1.34%
XRP/HKD+0.98%
DOGE/US+1.33%2020年11月30日,據慢霧區情報,以太坊AMM代幣兌換協議SushiSwap遭遇攻擊,損失約1.5萬美元。慢霧安全團隊第一時間介入分析,并以簡訊的形式分享,供大家參考。
背景提要
SushiSwap項目中SushiMaker合約的作用是用于存放SushiSwap中每個交易對產生的手續費。其中手續費會以SLP(流動性證明)的形式存放在合約中。SushiMaker合約中有一個convert函數,用于將從每一個交易對中收集的手續費通過調用各自交易對的burn函數獲得對應的代幣,然后將這些代幣轉換成sushi代幣,添加到SushiBar合約中,為SushiBar中抵押sushi代幣的用戶增加收益,而此次的問題就出在SushiMaker合約。
Coinbase與SEC訴訟法官發布該案提交文件的關鍵截止日期:金色財經報道,加密貨幣交易所Coinbase與美國證券交易委員會(SEC)之間的法律戰已進入關鍵階段,Failla法官發布了一份日程安排令,概述了提交文件的關鍵截止日期。據悉,Coinbase必須于2023年8月4日提交法律摘要,概述其論點、證據和支持文件。這些文件將揭示其案件的實質內容,并為其希望在法庭上提出的證據和論點提供重要的見解。提交法律摘要后,支持交易所訴狀判決動議的利害關系方有機會在2023年8月11日或之前提交法庭之友摘要,且不得超過20頁。
另一方面,SEC作為訴訟中的原告,將在10月3日或之前提交自己的法律摘要,概述其論點和證據。與Coinbase的流程類似,支持SEC案件的相關方可以在10月10日或之前提交法庭之友簡報,最多只能提交20頁的文件。在提交SEC的法律摘要后,Coinbase有機會在10月24日或之前提交答復摘要。這份文件僅限15頁,允許Coinbase直接回應SEC的論點和證據。[2023/7/24 15:53:51]
攻擊流程
距離DASH區塊獎勵減產預計還有1天:金色財經報道,數據顯示,當前距離DASH減產時間預計還有1天,距離減產剩余區塊679。屆時區塊獎勵將減少到2.56630257 DASH。[2023/6/22 21:54:41]
1、攻擊者選中SushiSwap中的一個交易對,如USDT/WETH,然后添加流動性獲得對應的SLP(USDT/WETH流動性證明,以下簡稱SLP),使用獲得的SLP和另外的少量WETH創建一個新的SushiSwap交易對,然后得到新代幣池的SLP1(WETH/SLP(USDT/WETH)流動性證明,以下簡稱SLP1)轉入?SushiMaker合約中。
印度央行與HDFC銀行、印度國家銀行、IBM等合作開展區塊鏈貿易融資項目試點:6月23日消息,印度央行正在與十多家大型銀行合作,以開展以貿易融資為核心的區塊鏈試點項目,其中包括HDFC銀行、印度工業信貸投資銀行(ICICI Bank)和印度國家銀行(State Bank of India),該項目旨在防止貸款欺詐行為。
三位知情人士透露,總部位于比利時的SettleMint、總部位于美國的Corda Technologies和IBM將為印度央行在班加羅爾創新中心推動的項目提供技術支持。該試點項目目前處于“概念驗證”階段,將利用區塊鏈技術增強資金流動的可追溯性。(The Economic Times)[2022/6/23 1:26:13]
2、調用SushiSwap的convert函數,傳入的token0為第一步獲得的SLP,token1為WETH。調用convert函數后,SushiMaker合約會調用token0和token1構成的代幣池的burn函數燃燒SLP1,燃燒掉攻擊者在第一步中打入SushiMaker合約中的SLP1,得到WETH和SLP。
3、SushiMaker合約的convert函數緊接著會調用內部的_toWETH函數將burn獲得的代幣轉換成WETH,由于在第二步SushiMaker合約通過burn獲得了SLP和WETH。其中WETH無需轉換,只需轉換SLP。此時,轉換將會通過調用SLP/WETH交易對進行轉換,也就是攻擊者在第一步創建的交易對。由于SushiMaker合約在轉換時會將所有的balanceOf(token0)轉換成WETH,這里傳入的token0為SLP,于是合約將合約中所有的SLP通過SLP/WETH交易對進行兌換(兌換的SLP包含USDT/WETH交易對每次swap產生的收益和在第二步合約通過burn函數獲得的SLP)。而SLP/WETH代幣池是攻擊者創建的,攻擊者只需在初始化的時候添加少量的WETH,就可以在SushiMaker交易對進行兌換的過程中,用少量的WETH換取SushiMaker合約中對應交易對的所有的SLP。
4、攻擊者使用burn函數在SLP/WETH交易對中燃燒掉自己的SLP1,拿到大量的SLP和小量的WETH,并繼續對其他流動性池重復該過程,持續獲利。
總結
攻擊者使用SLP和WETH創建一個新的代幣池,使用新代幣池的SLP1在SushiMaker中進行convert,使用少量的SLP將SushiMaker合約中的所有SLP轉到自己創建的代幣池中,即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程,持續獲利。
By:??慢霧安全團隊
順應國家大力發展區塊鏈的趨勢,自2020年以來,全國迎來了區塊鏈政策熱潮,中央以及各地方政府紛紛頒布區塊鏈相關政策.
1900/1/1 0:00:00親愛的AEX安銀小伙伴:自機槍池挖礦上線以來,大家參與熱情極高,截至公告發布之時DeFi機槍池累計銷售額已超100億,為用戶賺取收益超4200萬,超7000名用戶參與了機槍池挖礦.
1900/1/1 0:00:00算法穩定幣項目BasisCash設計了兩個代幣,一個是穩定幣BasisCash,另一個是所有權代幣BasisShare,后者具備升級潛力.
1900/1/1 0:00:00Filecoin主網開啟后,各大交易所爭分奪秒很快上了相關的FIL交易對。但是,不出預料,FIL價格開盤即漲,有些交易所達到200多美元,然后持續回落.
1900/1/1 0:00:00現在我們生活在一個高速發展的網絡時代,那么我們現在作為普通人,作為網絡用戶,是不是已經離不開互聯網所帶給我們生活的便捷?那我們的Filecoin是不是剛需呢?正是在這個時候.
1900/1/1 0:00:00Gate.io將于2020年12月01日12:00上線SKALE(SKL)交易。SKALE網絡令牌是一種混合使用令牌,它代表作為開發者部署和租用彈性側鏈或彈性區塊鏈一段時間后在網絡中作為驗證器工.
1900/1/1 0:00:00
以太幣交易所
