BTC/HKD+0.67%
ETH/HKD+0.46%
LTC/HKD+1.04%
DOT/HKD+1.41%
ADA/HKD+1.14%
SOL/HKD+1.4%
XRP/HKD+0.68%
DOGE/US+0.7%2020 年 11 月 30 日,據慢霧區情報,以太坊 AMM 代幣兌換協議 Sushi Swap 遭遇攻擊,損失約 1.5 萬美元。慢霧安全團隊第一時間介入分析,并以簡訊的形式分享,供大家參考。
Sushi Swap 項目中 Sushi Maker 合約的作用是用于存放 Sushi Swap 中每個交易對產生的手續費。其中手續費會以 SLP (流動性證明) 的形式存放在合約中。Sushi Maker 合約中有一個 convert 函數,用于將從每一個交易對中收集的手續費通過調用各自交易對的 burn 函數獲得對應的代幣,然后將這些代幣轉換成 sushi 代幣,添加到 Sushi Bar 合約中,為 Sushi Bar 中抵押 sushi 代幣的用戶增加收益,而此次的問題就出在 Sushi Maker 合約。
過去一周USDC流通量減少5億美元:6月11日消息,官方數據顯示,過去7天Circle共發行6億美元USDC,贖回11億美元USDC,流通量減少約5億美元。
截至6月8日,USDC總流通量為284億美元,儲備量為285億美元,包括37億美元的現金,以及248億美元的隔夜回購協議。[2023/6/11 21:29:52]
1、攻擊者選中 Sushi Swap 中的一個交易對,如 USDT/WETH,然后添加流動性獲得對應的 SLP (USDT/WETH 流動性證明,以下簡稱 SLP),使用獲得的 SLP 和另外的少量 WETH 創建一個新的 Sushi Swap 交易對,然后得到新代幣池的 SLP1 (WETH/SLP(USDT/WETH) 流動性證明,以下簡稱 SLP1)轉入 ?Sushi Maker 合約中。
英國上議院兩位議員對英國央行正在探索實施的數字英鎊感到一些擔憂:金色財經報道,英國央行正在探索實施數字英鎊的技術,而議會一直保持沉默,英國上議院兩位議員表達了一些擔憂,包括隱私和犯罪活動。[2023/6/2 11:53:10]
2、調用 Sushi Swap 的 convert 函數,傳入的 token0 為第一步獲得的 SLP,token1 為 WETH。調用 convert 函數后,Sushi Maker 合約會調用 token0 和 token1 構成的代幣池的 burn 函數燃燒 SLP1,燃燒掉攻擊者在第一步中打入 Sushi Maker 合約中的 SLP1,得到 WETH 和 SLP。
MicroStrategy股票價格年初至今上漲140%:金色財經報道,MicroStrategy公司股票MSTR年初至今大約上漲了140%,達到每股350美元,是去年9月以來的最高水平。它持有14萬個BTC,價值42.6億美元。[2023/4/19 14:12:09]
3、 Sushi Maker 合約的 convert 函數緊接著會調用內部的 _toWETH 函數將 burn 獲得的代幣轉換成 WETH,由于在第二步 Sushi Maker 合約通過 burn 獲得了 SLP 和 WETH。其中 WETH 無需轉換,只需轉換 SLP。此時,轉換將會通過調用 SLP/WETH 交易對進行轉換,也就是攻擊者在第一步創建的交易對。由于 Sushi Maker 合約在轉換時會將所有的 balanceOf (token0) 轉換成 WETH,這里傳入的 token0 為 SLP,于是合約將合約中所有的 SLP 通過 SLP / WETH 交易對進行兌換 (兌換的 SLP 包含 USDT/WETH 交易對每次 swap 產生的收益和在第二步合約通過 burn 函數獲得的 SLP )。而 SLP / WETH 代幣池是攻擊者創建的,攻擊者只需在初始化的時候添加少量的 WETH,就可以在 Sushi Maker 交易對進行兌換的過程中,用少量的 WETH 換取 Sushi Maker 合約中對應交易對的所有的 SLP。
SBF:提議對漏洞賞金設置5%的上限:金色財經報道,FTX 首席執行官Sam Bankman-Fried與ShapeShift首席執行官Eric Voorhees在Bankless主持的播客中分享了與監管政策有關話題。SBF圍繞對 DeFi 監管的立場的爭議,分享了一份名為“可能的數字資產行業標準”的文件。該文件列出了一套供DeFi公司遵循的自愿政策,直到監管機構明確監管規定。?
該文件包含一些與空間監管有關的有爭議的語言。SBF敦促業界“尊重”支持Tornado Cash制裁的外國資產控制辦公室 (OFAC)。此外,還提議對漏洞賞金設置5%的上限。該文件與大多數加密社區不符。?[2022/10/30 11:57:46]
4、攻擊者使用 burn 函數在 SLP/WETH 交易對中燃燒掉自己的 SLP1, 拿到大量的 SLP 和小量的 WETH,并繼續對其他流動性池重復該過程,持續獲利。
攻擊者使用 SLP 和 WETH 創建一個新的代幣池,使用新代幣池的 SLP1 在 Sushi Maker 中進行 convert,使用少量的 SLP 將 Sushi Maker 合約中的所有 SLP 轉到自己創建的代幣池中,即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程,持續獲利。
By :??yudan@慢霧安全團隊
OKEx暫停提幣危機近期可能會看到解決的曙光。OKEx數據顯示,OKEx平臺幣OKB從11月18日晚開始自4.8 USDT開始一路上漲,19日上午漲至5.738 USDT,漲幅高達19.5%.
1900/1/1 0:00:00今天看到一個微博,是《權力的游戲》中扮演Arya Stark的英國女演員Maisie Williams發出的.
1900/1/1 0:00:0011月11日,建行擔任顧問的數字代幣美元債券發行消息公布。時隔5日,這筆價值30億美元ERC20債券發行宣布將推遲.
1900/1/1 0:00:00波士頓聯邦儲備銀行應用研究主管Robert Bench認為,隱私應該是數字貨幣創造過程中的一個重點,而不是在事后考慮.
1900/1/1 0:00:00NFT 是幣圈最近火爆的新領域。據 NonFungible.com 數據,2019 年間每件 NFT 商品銷售均價大多低于 50 美元,而到了 2020 年 8 至 9 月,日均價高于 100.
1900/1/1 0:00:00通過一個腦洞問題,了解加密資產的全景。昨天有朋友提出一個問題:做一個市值為ETH1/3的項目,需要多少錢?這種腦洞題目,我覺得找個麥肯錫的咨詢顧問來回答可能更準確,我說的不是他們的結論準確,而是.
1900/1/1 0:00:00
以太幣交易所
