北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。
SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
攻擊者地址:
0xa6566574edc60d7b2adbacedb71d5142cf2677fb
攻擊合約:
0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
澳洲電信巨頭TPG接班人與22歲NFT投資者Ishan Haque聯合推出5000萬美元元宇宙基金:1月5日消息,澳洲電信服務提供商TPG接班人Jack Teoh與個人投資者Ishan Haque合作推出5000萬美元元宇宙基金Geminio Capital,旨在投資元宇宙、GameFi游戲等。Axie Infinity的種子投資者Sherwin Lee,ASX 200成分公司如Aristocrat和WiseTech Global等上市公司董事Arlene Tansey擔任基金顧問。
據了解,Jack Teoh也是Animoca Brands的投資人,同時也是個NFT巨鯨。Haque是一位來自澳大利亞投資者年僅22歲,在其18歲時,Haque購買了價值2500美元的Animoca股票,當他聽說Animoca Brands退市的消息時,他開始尋找所有他能想到的投資者,詢問他是否可以購買他們的股票。最終,他以平均7美分左右的價格收購了200萬股股票,并獲得超百倍收益,資產在不到1年時間內從10萬美元漲至1000萬美元以上。(PANews )[2022/1/5 8:26:52]
被攻擊合約:
BetaShares的新加密ETF上市前15分鐘打破了ASX記錄:11月5日消息,澳大利亞基金管理公司BetaShares的新加密ETF上市的前15分鐘就打破了澳大利亞證券交易所(ASX)的記錄,澳大利亞加密投資平臺Zerocap Ryan McCall的首席執行官對此表示說:“鑒于澳大利亞過去一年對加密貨幣的‘胃口’,能有這樣的記錄并不令人意外,澳大利亞的現貨比特幣ETF并不遙遠,其次是以太坊和其他潛在的加密貨幣。”(Cointelegraph)[2021/11/5 6:33:29]
0xdCA503449899d5649D32175a255A8835A03E4006
攻擊交易:
0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
21Shares通過北歐銀行向瑞典和斯堪的納維亞投資者提供比特幣ETP產品:加密交易所交易產品(ETP)發行商21Shares AG正通過北歐銀行(Nordnet Bank)的數字儲蓄和投資平臺,向瑞典和斯堪的納維亞投資者提供其產品。截至上周,Xetra批準上線的21Shares兩個產品已在Nordnet平臺上提供,允許投資者獲得更透明、更具成本效益的比特幣產品。
憑借21Shares Bitcoin和Short Bitcoin ETP,21Shares正在為進一步擴張鋪平道路,并致力于為已經建立起來的社區提供最高質量的產品。據稱,這是斯堪的納維亞投資者第一次能夠利用此類產品獲利。
據此前報道,中歐最大的證券交易所之一維也納證券交易所(Wiener B?rse)上線首個針對比特幣和以太坊的交易所交易產品(ETP)。據悉,該單資產產品由瑞士金融科技公司21Shares發行,交易代碼為ABTC。此外,在8月底,21Shares于德國證券交易所Xetra推出集中清算的看空比特幣ETP(SBTC)。(Globe Newswire)[2020/9/21]
攻擊流程:
動態 | ShapeShift解決了KeepKey硬件錢包的漏洞報告:據cointelegraph消息,加密貨幣互換和硬件錢包生產商ShapeShift解決了最近有關KeepKey硬件錢包漏洞的問題。ShapeShift指出,“漏洞”是不切實際的。攻擊者需要物理專用訪問設備,硬件技能和數據統計分析,以獲得僅根據屏幕能耗顯示的內容。此外,他指出,即使滿足所有這些要求,解釋數據仍然非常困難。[2019/8/8]
(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。
(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。
(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。
(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO
(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。
(6)循環上述過程,持續獲得額外的BNO代幣
(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。
本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。
合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。
而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。
針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:
(1)在進行獎勵計算時,校驗用戶是否提取本金。
(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。
金色財經
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
Tags:SHARESNFTHAREradioshack幣暴Mirrored ProShares VIXFirst Ever NFTHare Chain
▌ 歐盟加密資產市場法(MiCA)正式在歐盟官方公報發布6月9日消息,歐盟加密資產市場法(MiCA)正式在歐盟官方公報 (OJEU) 上發布.
1900/1/1 0:00:00作者:新火科技資深研究員Loki一、Multichain事件背后暴露了MPC錢包管理的哪些問題?7月14日,Multichain 發推稱.
1900/1/1 0:00:00作者:Yilan,LD Capital提及DEX,大多數人會立刻聯想到AMM,AMM非常有用,是關鍵的DeFi原始機制.
1900/1/1 0:00:00作者:Krisztian Sandor,CoinDesk;編譯:松雪,金色財經以太坊 (ETH) 質押已接近一個關鍵里程碑,即所有代幣中有 20% 被鎖定在質押合約中.
1900/1/1 0:00:00Cairo 編譯器的第 2 版對 Starknet 語法進行了更改,使代碼更加明確和安全。智能合約公共接口是使用特征定義的,并且對存儲的訪問是通過 ContractState 特征完成的.
1900/1/1 0:00:00作者:Bernard Marr,Forbes;編譯:松雪,金色財經元宇宙是一個巨大的在線游戲——它是虛擬現實 (VR)——它是區塊鏈.
1900/1/1 0:00:00