链捕手消息,据慢雾区情报,币安智能链项目ValueDeFi的vSwap模块被黑,慢雾安全团队将攻击过程以简讯的形式分享:
1.攻击者首先使用0.05枚WBNB通过vSwap合约兑换出vBSWAP代币
2.攻击者在兑换的同时也进行闪电贷操作,因此vSwap合约会将兑换的vBSWAP代币与闪电贷借出的WBNB转给攻击者
慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]
3.而在完成整个兑换流程并更新池子中代币数量前,会根据池子的tokenWeight0参数是否为50来选择不同的算法来检查池子中的代币数量是否符合预期
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
4.由于vSwap合约的tokenWeight0参数设置为70,因此将会采用第二种算法对池子中的代币数量进行检查
动态 | 慢雾:9 月共发生 12 起较典型的安全事件,供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件,包括:EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外,慢雾区块链威胁情报(BTI)系统监测发现,针对区块链生态的供应链攻击越来越多,形如:去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击,还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入,进行实施盗币攻击。[2019/10/1]
5.而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过
6.第二种算法是通过调用formula合约的ensureConstantValue函数并传入池子中缓存的代币数量与实时的代币数量进行检查的
7.在通过对此算法进行具体分析调试后我们可以发现,在使用WBNB兑换最小单位(即0.000000000000000001)vBSWAP时,池子中缓存的WBNB值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过
8.因此攻击者可以转入WBNB进行最小单位的vBSWAP代币兑换的同时,将池子中的大量WBNB代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过vSwap的检查
9.攻击者只需要在所有的vSwap池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利
参考交易:
https://bscscan.com/tx/0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de
链捕手消息,去中心化知识图谱存储项目EpiKProtocol(铭识协议)宣布完成300万美元的战略轮融资.
1900/1/1 0:00:00链捕手消息,据中证网报道,中国人民银行副行长李波在博鳌亚洲论坛2021年年会数字支付与数字货币分论坛上指出,“比特币和稳定币是加密资产。加密资产是投资的选项,它本身不是货币,而是另类投资品.
1900/1/1 0:00:00本文来源于Web3Explorer,作者为Mike、Lester。前言本文是《Web3.0Explorer》系列的第二篇,第一篇是:《对Web3.0概念的梳理》.
1900/1/1 0:00:00链捕手消息,去中心化永续合约交易平台MCDEX宣布完成由DelphiDigital和AlamedaResearch领投的700万美元融资,其中包含MCDEX社区跟投的100万美元额度.
1900/1/1 0:00:00链捕手消息,隐私AI计算网络PlatON今日正式公布其主网上线的社区验收流程,并即将于4月25日中午12时29分完成主网预部署的第一阶段工作.
1900/1/1 0:00:00本文发布于Odaily星球日报,作者:TaylorTepper,编译:Moni。 很快,你就能购买帮助您购买比特币的公司的股票了——虽然这句话听起来有点绕口.
1900/1/1 0:00:00