安全公司CertiKAlert在推特上表示,稳定币交易项目Platypus在AAVE上遭遇闪电贷攻击,导致总价值约900万美元的资产损失。此时,大部分被盗资金仍留在攻击者的合约地址中,部分资金被发送到EOA和AAVE池中。
CertiK分析称,漏洞似乎在于emergencyWithdraw函数对MasterPlatypusV4合约的验证,只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产,而不考虑用户借入的资产价值。具体过程如下:1.攻击者将4400万枚USDC存入PlatypusUSDC资产并获得4400万枚LP-USD。攻击者随后将LP-USD存入MasterPlatypusV4。2.攻击者调用函数borrow()在合约platyputreasure中铸造约4179万枚USP。这是借款限额所允许的最高金额,该限额为用户抵押品的95%。3.因为攻击者没有借入超过95%的上限,isSolvent值返回为“true”,这使得攻击者能够调用EmergencyWithdraw函数和全部4400万枚LP-USDC。4.攻击者随后从PlatypusUSDC资产(LP-USDC)中提取了4400万枚USDC,并开始通过PlatypusFinance池将USP换成多种资产。偿还闪电贷后,Platypus平台的总损失约为900万美元。
安全公司:Deribit攻击者已累计将7499枚ETH转入Tornado Cash:11月8日消息,据派盾监测数据显示,Deribit热钱包攻击事件黑客已累计将7499枚ETH(约合1180万美元)通过中间地址(0x3...e2d)转入Tornado Cash。[2022/11/8 12:30:48]
Platypus就此事在官方电报群中发布公告称:“我们目前正在努力评估情况,并将就此及时进行沟通。目前,所有行动都已暂停,直到情况更加明朗。”数据显示,Platypus项目的原生稳定币USP已脱锚至0.4785美元。
安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查:据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。[2021/8/12 1:51:06]
动态 | 安全公司:四分之一受调查的英国企业遭受过加密攻击:英国网络安全平台CybSafe称,多达四分之一的英国小企业可能受到加密攻击的影响。调查结果显示,在过去12个月中,250家受访公司中有25%曾遭受过加密攻击。CybSafe的研究还发现,受调查公司普遍缺乏网络安全措施,只有一半的公司进行过员工培训,并且,多达四分之一的公司没有反病软件。?(Crypto Briefing)[2019/9/20]
为了应对近期土耳其地震造成的破坏,币安宣布将向所有被确定居住在受灾最严重地区的币安用户空投价值100美元的BNB.
1900/1/1 0:00:00据TheBlock报道,Web3通信项目SendingLabs完成1250万美元种子轮融资,由InsigniaVenturePartners、MindWorksCapital和SignumCap.
1900/1/1 0:00:00据CoinDesk报道,据知情人士透露,九年前因黑客攻击而倒闭的加密交易所Mt.Gox的两个最大债权人已选择主要以比特币(BTC)形式获得赔偿.
1900/1/1 0:00:00据TheBlock报道,据两名知情人士透露,JumpTrading为美国证券交易委员会指控在TerraUSD与美元脱钩期间为其提供支持的交易公司.
1900/1/1 0:00:00据Decrypt报道,Web3游戏DAOGame7和化名JacobC.eth共同开发的Web3游戏启动器HyperPlay现已通过抢先体验上线.
1900/1/1 0:00:00据CoinDesk报道,根据FTX破产律师提交的一份文件,FTX.com的资产存在“巨大缺口”.
1900/1/1 0:00:00