火星链 火星链
Ctrl+D收藏火星链
首页 > 币赢 > 正文

USDC:慢雾分析:黑客通过绕过未被验证的账号,非法增发20亿个CASH

作者:

时间:1900/1/1 0:00:00

Solana上的稳定币项目Cashio今日遭遇黑客攻击。据慢雾安全团队初步分析,黑客通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,并通过多个应用将CASH代币转化为8,646,022.04UST17,041,006.5USDC和26,340,965.68USDT-USDCLP,获利总价值:52027994.22USD。目前官方@CashioApp已发出公告让用户暂停使用合约,并发布临时补丁修复了漏洞。

慢雾:yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH;

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC;

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性;

4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值;

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币;

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复;

7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

攻击者CASH代币账号:https://solscan.io/account/26rFraKwk3gurdLLzR2aU5Z2sGA4jJ4Nnr7QDECu5BAK

声音 | 慢雾余弦:研究加密货币是出于技术热爱:区块链安全公司慢雾创始人余弦发微博称,研究加密货币是出于技术热爱,这些年其实研究了不少主流币种还有些小币种,多少都发现了些问题,其中有不少是安全问题。后来联合创建了慢雾科技 ,致力于做好区块链生态的安全。我提 MimbleWimble 的隐私与安全问题,不代表我不喜欢 Grin 和 BEAM,反而我在持续持有,就好像我很早就研究门罗币、Zcash 的安全问题,我也在持续持有它们。有漏洞根本不是什么大问题,不改进不进化才是大问题。我尽量客观做好安全技术研究,输出的观点千万不要过度解读,尤其不要解读出“做多做空”,投资加密货币的讨论,我一概不参与、不站台、不背书。[2019/3/24]

攻击交易:https://solscan.io/tx/4fgL8D6QXKH1q3Gt9GPzeRDpTgq4cE5hxf1hNDUWrJVUe4qDJ1xmUZE7KJWDANT99jD8UvwNeBb1imvujz3Pz2K5

声音 | 慢雾安全团队:区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道,慢雾安全团队表示,区块链技术本身存在安全缺陷,研究区块链安全的可以参考以太坊漏洞赏金计划实现安全,包括:1. 客户端协议实现安全;2. 网络安全;3. 节点安全;4. 客户端应用安全;5. 算法使用安全;6. Solidity 语言安全;7. ENS 安全。[2018/7/2]

标签:USDDAIUSDCSDCStable USDDaisy ProtocolAUSDChusdc币

币赢热门资讯
IMO:Animoca Brands开发的NFT游戏F1 Delta Time将停止运营

AnimocaBrands官网发布公告,称由AnimocaBrands开发、基于以太坊区块链的NFT游戏F1DeltaTime将于2022年3月16日停止运营.

1900/1/1 0:00:00
CAP:区块链风投基金A&T Capital完成1亿美元募资

区块链风险投资基金A&TCapital完成1亿美元的全部募集。投资人中包括全球知名大型金融科技集团、知名风险投资基金的合伙人以及在web2和web3领域成就卓越的企业家.

1900/1/1 0:00:00
SWAP:费用支付平台Jeeves以21亿美元估值完成1.8亿美元C轮融资,腾讯领投

费用支付平台Jeeves已在腾讯领投的C轮融资中筹集了1.8亿美元,本轮融资的其他投资者包括GIC、斯坦福大学、a16z、CRV、硅谷银行、FTPartners、ClocktowerVentur.

1900/1/1 0:00:00
SAMA:波卡周报:14条平行链接入Polkadot网络、32条平行链接入Kusama网络

波卡发布周报称,Parity发布Polkadotv0.9.19版本,此版本优先级较低。Runtime9190包括了对XCM的支持.

1900/1/1 0:00:00
区块链:电信即服务(TAAS)平台OXIO完成4000万美元B轮融资,ParaFi Capital领投

据CoinDesk报道,基于区块链的“电信即服务”(TAAS)平台OXIO宣布完成4000万美元B轮融资,ParaFiCapital领投.

1900/1/1 0:00:00
HIV:加密矿企Argo通过利用英特尔芯片将今年算力目标提升50%

据CoinDesk报道,加密矿企ArgoBlockchain将今年的算力目标提高了50%,从3.7EH/s增至5.5EH/s,主要受益于对英特尔的新芯片的使用.

1900/1/1 0:00:00