北京时间2022年8月2日13点,CertiK安全团队监测到ReaperFarm的ReaperVaultV2合约被恶意利用,导致了价值超过160万美元的损失。
攻击者利用ReaperVaultV2合约中的一个漏洞——可以销毁其他用户的vaultshare并提取代币,以此从多个vault提取了大量的代币。
卡巴斯基GReAT团队研究人员发现一个木马化的DeFi应用程序:金色财经消息,国家网络威胁情报共享开放平台发表文章称,近日,卡巴斯基GReAT团队研究人员发现了一个木马化的DeFi应用程序,其编译时间为2011年11月,与Lazarus组织使用的其他工具有许多相似之处。该应用程序为一个合法DeFi钱包,可用于保存和管理加密货币,但是在执行时会植入一个恶意软件。该恶意软件是一个功能齐全的后门,用于控制被感染的受害者主机。[2022/4/18 14:31:56]
截至北京时间2022年8月3日8点,160万DAI、62ETH以及200Matic已被存入TornadoCash。
动态 | Tech Bureau将专注区块链与虚拟货币业务:7月6日消息,据bitcoinexchangeguide消息,经营日本虚拟货币交易所Zaif的Tech Bureau宣布,将剥离其软件销售业务,并将区块链解决方案部门并入控股部门Tech-Bureau。公司将确保它将集中于虚拟货币交易所Zaif(Bbitcoinexchangeguide)。[2018/7/6]
攻击步骤
动态 | Blockstream发布c-lightning的Beta版本:据ccn消息,Blockstream已经发布了针对比特币的可扩展性解决方案c-lightning的0.6版本。在用C编程语言编写的闪电网络中,客户已经转向了一种新的架构,可增强其对特定需求和基础架构的适应性。[2018/6/28]
①攻击者部署了一个攻击者合约,通过该合约,攻击者可在一次交易中从Reapervault提取多个用户的资产。
②ReaperVaultV2合约并未检查shareowner与messagesender之间的关系,因此攻击者可以多次通过攻击者合约提取vault用户的资产。
③攻击者将从金库提取的代币换成DAI、ETH和Matic,并将其存入TornadoCash。
漏洞交易
漏洞交易之一:
https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5
其余漏洞交易:
https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a
漏洞分析
在ReaperVaultV2合约的`withdraw()`函数中,vaultshare所有者可以是msg.sender以外的账户。同时,所有者与msg.sender之间的关系或是allowance未被选中,意味着人们可以从vault提取其他用户的资产。
写在最后
本次攻击事件本可通过审计发现「缺乏访问控制」这一风险因素。该风险因素将被归类于严重等级的风险。
而除审计外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
Aug.2022,ThiagoFreitasDataSource:ArtBlocksDashboardArtBlocks是一个NFT平台,使其用户能够铸造所谓的"生成艺术".
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00在2021年的加密牛市期间,我们看到了像AxieInfinity这样的P2E游戏的兴起。然而,我们还没有看到一款广为人知的基于P2E的第一人称射击游戏.
1900/1/1 0:00:00Tether与世界各地的执法部门紧密合作,协助调查,包括冻结钱包地址。我们几乎每天都与执法官员联系,并坚持及时回应他们的要求.
1900/1/1 0:00:006月6日晚8点,格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下在一直播平台,就“全面解析USDD升级为去中心化超抵押稳定币”为主题进行的最新直播已经圆满结束.
1900/1/1 0:00:00在过去的两年里,有许多围绕着Web3和加密货币的讨论。并且有充分的理由。 作为从Web2.0运动演变而来的一部分,Web3是将互联网去中心化的运动,使生态系统内的应用程序、网站和服务的访问民主化.
1900/1/1 0:00:00