Nirvana目前資產缺口超過1200萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。
原文標題:《暴跌90%!Solana算法穩定幣新秀Nirvana被攻擊事件分析》
撰文:成都鏈安
當你第一次聽到Nirvana這個項目時,你的反應是不是也是這樣。
Nirvana,不就是那支享譽全球的涅槃樂隊嗎?
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
Nirvana,對于一個喜歡搖滾樂的樂迷來說肯定很熟悉,當然,Web3的項目方取名字也會各種蹭,當時這個算法穩定幣協議Nirvana出來時,很多人也在疑惑這個項目是否和這支傳奇樂隊有關聯。
Beosin:SheepFarm項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的SheepFarm項目遭受漏洞攻擊,Beosin分析發現由于SheepFarm合約的register函數可以多次調用,導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems,再利用upgradeVillage函數在消耗gems的同時累加yield屬性,最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB,約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/16 13:10:39]
后來事實證明他們毫無關系。
慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。
2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。
3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。
4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。
針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]
據悉,這個有著Solana算法穩定幣新秀的項目,采取雙代幣系統:ANA,一種算法亞穩態代幣,用作財富存儲;由ANA作為抵押生成的NIRV代幣,是一種去中心化的超級穩定幣,用作價值存儲。
為何這個項目在今日遭受攻擊,請聽我們細細分解。
北京時間7月28日中午,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,基于Solana的去中心化算法穩定幣協議Nirvana遭遇攻擊,其穩定幣NIRV價格從1美元一度跌至0.09美元,目前反彈至0.11美元,最大跌幅超過90%;ANA代幣價格從8.9美元一度跌至1.5美元,跌幅高達85%。
我們統計資金損失時,發現項目方損失約357萬美元。
攻擊發生時海外正值深夜,大概項目方工作人員還在睡夢中。成都鏈安安全團隊的小伙伴,立刻跟進此事件,現將本次事件簡單分析如下。
第一步,攻擊者通過調用solend協議的flashloan指令,借來了1025WUSD,隨后調用了Nirvana程序中的Buy3指令,此時根據兌換比例可以算出此時USD/ANA為8.72,兌換后價格為24.27,此時兌換前價格/兌換后價格約為1/3。
第二步,攻擊者開始進入「黑化狀態」,兩次調用swap指令將獲得的ANA兌換為USD,價格隨后分別跌至22.73,16.47。
第三步,成都鏈安安全團隊通過Github搜索關鍵字相關項目,但未發現存在buy3指令。
第四步,被盜資金目前以通過跨鏈橋轉移到以太坊上。成都鏈安鏈必追將持續對資金地址進行分析和追蹤。
根據Odaily星球日報的報道,「Nirvana」目前資產缺口超過1200萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。「Nirvana」要想繼續存活,也許可以效仿競品BeanstalkFarms進行眾籌。
好了,今天的分享就結束了,后續有動向我們將持續跟進此事件。
1.金色前哨|加息落地鮑威爾發表提振市場言論BTC短時上漲美聯儲結束了為期兩天的會議,美聯儲主席杰羅姆鮑威爾宣布再次加息0.75個百分點,因為決策者試圖為幾十年來的高通脹水平降溫.
1900/1/1 0:00:00目前,在以太坊的Layer2擴容解決方案中,采用Rollup技術的方案已經成為主流,并以不同的共識機制形成了已經落地的L2網絡.
1900/1/1 0:00:00“原來當神秘博士是這種感覺,穿越時間和空間,從未感到自己老去。”在倫敦舉辦的瑞典樂隊ABBA的Voyage演唱會上,站在臺上的樂隊成員Benny如此感嘆道.
1900/1/1 0:00:00Coinbase的核心零售交易業務非常賺錢但卻不可持續,需要開拓新的業務。原文標題:《對Coinbase中長期前景的冷靜評估》撰文:DeFi?Surfer 2021年,Coinbase??創造了.
1900/1/1 0:00:007月20日,巴比特主辦的“Web3.0數據分析與隱私安全”論壇在中國未來區塊鏈創新中心開啟。來自亞馬遜云科技、數美科技、ADVANCE.AI、NFT中國、純白矩陣、宇鏈科技、趣鏈科技、杭州國際數.
1900/1/1 0:00:007月還沒有結束,在以太坊域名服務平臺ENS上,有326800個以「.eth」結尾的域名在這個月內被注冊.
1900/1/1 0:00:00