链捕手消息,6月7日EqualizerFinance遭受闪电贷攻击。慢雾安全团队分析如下:
1.EqualizerFinance存在FlashLoanProvider与Vault合约,FlashLoanProvider合约提供闪电贷服务,用户通过调用flashLoan函数即可通过FlashLoanProvider合约从Vault合约中借取资金,Vault合约的资金来源于用户提供的流动性。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
2.用户可以通过Vault合约的provideLiquidity/removeLiquidity函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受Vault合约中的流动性余额与流动性凭证总供应量的比值影响。
慢雾:跨链互操作协议Poly Network遭受攻击并非由于网传的keeper私钥泄漏:对于跨链互操作协议Poly Network遭受攻击事件,慢雾安全团队分析指出:本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址,并非网传的是由于keeper私钥泄漏导致这一事件的发生。[2021/8/11 1:47:48]
3.以WBNBVault为例攻击者首先从PancekeSwap闪电贷借出WBNB
声音 | 慢雾余弦:MimbleWimble并没完全解决“交易隐私”问题:区块链安全公司慢雾创始人余弦发微博称,MimbleWimble并没完全解决“交易隐私”问题,它让交易在区块链上不会暴露隐私,这个实现确实很漂亮,但由于它交易的特殊性,这导致相比其他匿名货币,基于 MimbleWimble 实现的在链下隐私与安全会遭遇更大挑战。[2019/3/22]
4.通过FlashLoanProvider合约进行二次WBNB闪电贷操作,FlashLoanProvider会先将WBNBVault合约中WBNB流动性转给攻击者,随后进行闪电贷回调。
5.攻击者在二次闪电贷回调中,向WBNBVault提供流动性,由于此时WBNBVault中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6.攻击者先归还二次闪电贷,然后从WBNBVault中移除流动性,此时由于WBNBVault中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7.攻击者通过以上方式攻击了在各个链上的Vault合约,耗尽了EqualizerFinance的流动性。
此次攻击的主要原因在于EqualizerFinance协议的FlashLoanProvider合约与Vault合约不兼容,慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。
标签:ULTVAULTBNBWBNBTOPDOG Vault (NFTX)TOPDOG Vault (NFTX)bnb价格今日行情WBNB币
来源:Dmail众多资本和机构针对Web3,推出了自身的产品,其中,Web3邮箱Dmail创新推出资产内置功能和平台属性,有望成为Web3的领军现象级应用.
1900/1/1 0:00:00链捕手消息,PoS区块链网络Sui公布代币经济学模型,包含用户、SUI代币持有者、验证节点这3个主要参与者和SUI代币、Gas费用、Sui的存储基金、权益证明机制、链上投票机制这5个核心部分.
1900/1/1 0:00:00链捕手消息,据官方推特,BitKeep钱包V7.0.9版本现已接入Go+Security的Token安全检测数据,并上线Token安全检测功能.
1900/1/1 0:00:00作者:阿法兔根据美国联邦贸易委员会的数据:2020年10月至2021年3月期间,因为安全问题,有将近7000人在加密领域损失的金额达8000多万美元,比一年前增加了1000%.
1900/1/1 0:00:00整理:麟奇、胡韬,链捕手重要资讯1、DoKwon:我对Terra给所有人带来的痛苦感到心碎,危机期间没有卖出LUNA与UST5月14日消息,Terra创始人DoKwon在凌晨发推表示.
1900/1/1 0:00:00链捕手消息,基于Near的去中心化交易协议OrderlyNetwork完成2000万美元融资,ThreeArrowsCapital、PanteraCapital、DragonflyCapital.
1900/1/1 0:00:00