北京时间?2023?年?2?月?16?日凌晨,Avalanche?上的?DeFi?平台Platypus?Finance遭遇闪电贷攻击,被盗走约900?万美元。攻击者部署了未经验证的合约,并利用闪电贷消耗了协议中的约?900?万美元。
攻击步骤
三次攻击,我们将选择金额最大的用来解析流程:
1.攻击者将闪电贷获得的?4400?万?USDC?存入?PlatypusUSDC?池,并获得?4400?万LP-USDC。
2.攻击者将这?4400?万?LP-USDC?存入?MasterPlatypusV?4?。
安全团队:元宇宙项目Quint近日遭黑客攻击,损失13万美元:7月1日消息,据成都链安安全舆情监控数据显示,元宇宙项目Quint在6月29日遭黑客攻击,损失13万美元。黑客地址如下:0x82f42c1172ff2dab3129045de05cde0ca8c87fca、0xcBd00C9A86f3BfD4441693E0D23F5026A648117F、0xa59D3d8911DbC3Ba7c56A2Bc35c22Cbef759992d。[2022/7/1 1:44:16]
3.该平台的借贷限额被设置为?95%?,这意味着攻击者最多可以用他们的?4400?万?LP-USDC?借到大约?4180?万?USP。
ETC Labs首席执行官:黑客能利用租用算力攻击PoW区块链是巨大问题:金色财经报道,Ethereum Classic Labs首席执行官Terry Culver表示,黑客能够利用租用的算力对工作量证明(PoW)区块链进行51%攻击,这实际上是系统中的一个巨大漏洞。据悉,使用租用的算力对ETC进行51%攻击将花费大约3800美元。[2020/9/12]
4.攻击者在?PlatypusTreasure?合约中调用了borrow来铸造大约?4180?万?USP。
5.由于借来的?USP?数额没有超过限额,协议的isSolvent值将总是返回?true。
动态 | 5月共发生9起黑客攻击事件,损失逾700万元:据PeckShield态势感知平台数据显示,过去一个月,TRON/EOS生态共计发生9起黑客攻击事件,共计损失资金逾700万元。整体而言:1、EOS生态发生2起较为严重的私钥被盗事件,损失超25,246个EOS; 2、TRON DApp生态发生5起交易回滚攻击事件,黑客尝试以合约广撒网扩散攻击范围,但此类攻击类似于“薅羊毛”,造成的损失相对较小;3、TronBankPro代码存后门事件引发了社区广泛讨论,第三方服务平台TSC存在较大嫌疑即为攻击者;4、此前攻击Cryptopia交易所的黑客于本月起开始密集,截至目前,已有5,067个ETH流入火币交易所。PeckShield认为,受市场行情涨势的影响,加密货币市场整体不稳定因素也在增多,但私钥被盗,代码后门此类安全事件和开发者欠缺安全意识有直接关系,大可避免。在此建议开发者应在合约上线前做好已知攻击特征安全测试,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/6/1]
6.由于isSolvent变量为?true,攻击者可以调用EmergencyWithdraw来提取其质押的?4400?万?LP-USDC?全部资金。
7.攻击者在支付了移除流动性的手续费用后,总共提取了?43,?999,?999,?921,?036USDC。
8.攻击者偿还了闪电贷款,并以多个稳定币的形式获利约?850?万美元。
2,?425,?762USDC
1,?946,?900USDC.e?
1,?552,?550USDT
1,?217,?581USDT.e
687,?369BUSD
691,?984DAI.e?
在撰写本文时,共大约?900?万美元被盗。其中攻击者部署的合约中仍有价值?850?万美元的资产;171,?000?美元在攻击者的地址;399,?400?美元在一个?Aave?池。
漏洞分析
造成该事件的漏洞在于?MasterPlatypusV?4?合约的函数emergencyWithdraw中偿付能力检查出现问题。其偿付能力检查没有考虑到用户的负债价值,而只检查了债务金额是否达到最大限额。偿付能力检查通过后,合约允许用户提取所有存入的资产。
函数platypusTreasure.isSolvent会返回两个值。第一个值是solvent,是一个决定了用户的债务金额是否低于借款限额的布尔值。第二个值debtAmount则显示用户所欠的债务金额。
如果用户的债务额不超过用户抵押物的?95%?的借款限额,那么solvent的值将为?true。
然而,在emergencyWithdraw函数中,偿付能力检查只验证了布尔值solvent,而忽略了债务金额。这意味着,如果用户的债务不超过借款限额,用户可以调用函数emergencyWithdraw来提取所有存入的抵押品。
通过安全审计,可以发现该设计缺陷问题。
本次事件的预警已于第一时间在?CertiK?官方推特进行了播报。欢迎大家随时关注?CertiK?官方推特,获取更多与漏洞、黑客袭击以及?RugPull?相关的社群预警信息。
以太坊发行量已达到自合并以来最通缩的水平,当时资产从工作量证明过渡到股权证明。ETH价格攀升至9月中旬以来的最高水平,带动了市场参与者的看涨情绪.
1900/1/1 0:00:00金色财经报道,总部位于德克萨斯州的GrainChain宣布了一轮2900万美元的融资。这包括来自Overstock的1000万美元,它通过MediciVentures为GrainChain提供了.
1900/1/1 0:00:00原文作者:Jaleel,BlockBeats随着DEX协议Camelot的发展,Arbitrum生态热度高涨不减,Camelot的原生TokenGRAIL价格从200涨到了2000?U.
1900/1/1 0:00:004.0.9版本更新UEEx优易App已于2023年02月16日更新至4.0.9版本,诚邀各位用户前往UEEx优易官网下载最新版本.
1900/1/1 0:00:00最近稳定币再次站上了风口浪尖。原因不外乎BUSD的发行机构Paxos被NYDFS查水表,结果一纸政令说“无法在全面监管的基础上安全稳健地运营BUSD”导致BUSD直接被停发,Binance无奈表.
1900/1/1 0:00:00MATIC看到了鲸鱼和其他地址的兴趣增加。截至发稿时,MATIC暴跌10%,但空头无法控制。Polygon最近的需求显着增加.
1900/1/1 0:00:00