Polygon鏈上LibertiVault合約遭遇攻擊分析_POL

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Polygon鏈上LibertiVault合約遭遇攻擊，損失約123ETH和56,234USDT價值約29萬美元，以及以太坊鏈上35ETH和96223USDT價值約16萬美元，總共超45萬美元。技術人員分析發現，本次攻擊是由于LibertiVault合約存在重入漏洞所導致。

Poloniex和Bittrex要求美國律師事務所Roche Freedman從集體訴訟案中退出:9月3日消息，Poloniex 和 Bittrex 要求美國律師事務所 Roche Freedman 從對其的集體訴訟案中退出。

此前報道，Tether 已要求美國律師事務所 Roche Freedman 從相關集體訴訟案中退出。8 月底，Roche Freedman 創始合伙人 Kyle Roche 提出數起集體訴訟，訴訟對象包括 Tether 和 Bitfinex、Tron、BitMEX 和 Binance。（the block）[2022/9/3 13:06:22]

1、攻擊者使用閃電貸借出500萬USDT，調用LibertiVault合約deposit函數進行質押，其質押邏輯會將質押的代幣一部分用于兌換，然后再計算鑄幣數量，鑄幣數量是根據和合約本次存入代幣量與合約存入之前的余額比例來進行計算的。

波卡：YFDOT不屬于Polkadot:波卡Polkadot官方晚間發推稱，請注意：YFDOT不屬于Polkadot，也不建立在Polkadot之上，也不是Polkadot生態系統的一部分。他們的 \"Yearn Finance Polkadot\"名字和字母“P”LOGO是故意誤導。Web3 Foundation正在采取法律行動。[2020/9/22]

2、而兌換操作swap會調用黑客的合約，此時黑客第一次重入調用deposit，并在此函數中二次重入，向合約打入250萬USDT。

現場 | Polymath顧問JT：STO發展還需要時間:金色財經獨家現場報道，金色沙龍?破繭系列“STO能否成為區塊鏈行業強心劑”在四分之三區域全球商業中心舉辦，在圓桌會議環節，Polymath顧問JT表示，美國STO今年已有好幾個項目發行，美國證券法允許STO，沒有發行得更快是因為還在等美國證監會更細致的規定，STO還需要時間。金色沙龍系列活動由金色財經主辦，貝殼公關承辦，節點資本聯合主辦。[2018/10/27]

3、二次重入結束后，合約會按照250萬USDT與之前合約的USDT余額比值為黑客鑄幣，第一次重入的deposit函數運行結束后，黑客又向其中打入了250萬USDT。

4、此時，執行完了外層deposit函數中的兌換操作，合約又會按照250萬USDT與合約USDT余額比值進行鑄幣。

5、問題就出在第四點，按理來說，第二次計算合約余額應該是之前的余額加上第一次打入的250萬余額來作為本次計算的參數，但這里是使用的重入的形式，合約余額在最開始就已經獲取了，所以參數并未改變，還是使用的原來的余額進行計算，導致給黑客鑄了大量的憑證代幣。

6、最后黑客移除憑證代幣，歸還閃電貸獲利。

Beosin

企業專欄

閱讀更多

金色財經

金色薦讀

Block unicorn

金色財經 善歐巴

區塊鏈騎士

Foresight News

深潮TechFlow

Tags：POLUSDUSDTSDTPolka ClassicASUSD幣在哪可以賺usdt幣

以太坊價格今日行情