火星链 火星链
Ctrl+D收藏火星链
首页 > UNI > 正文

CER:CertiK:预言机被黑客任意利用的日子什么时候是个头?Rikkei Finance被攻击事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年4月15日11点18分,CertiK审计团队监测到Rikkei Finance被攻击,导致约合701万元人民币(2,671 BNB)资产遭受损失。

由于缺乏对函数`setOracleData`的访问控制,攻击者将预言机修改为恶意合约,并获取了从合约中提取USDC、BTCB、DAI、USDT、BUSD和BNB的权限。攻击者随后将这些代币全部交易为BNB,并通过tornado.cash将这些BNB转移一空。

①攻击者向rBNB合约发送了0.0001个BNB以铸造4995533044307111个rBNB。

Balancer敦促部分LP尽快移除流动性:金色财经报道,Balancer敦促其部分流动性提供者(LP)尽快从五个资金池中提取资金。Balancer表示,为避免即将公开披露的问题,已将部分Balancer池的协议费用已设置为0,目前正常运行。

但因部分流动性池中相关问题无法被解决,Balancer 敦促部分 LP 尽快提取流动性,包括以太坊主网上的 DOLA / bb-a-USD(当前锁仓额 360 万美元)、Polygon 上的 bb-am-USD/miMATIC(锁仓额 9000 美元)、Optimism 上 Beethoven X(由 Balancer 驱动)的It's MAI life(锁仓额 110 万美元)和Smells Like Spartan Spirit(锁仓额9万美元)以及Fantom上Beethoven X的Tenacious Dollar(锁仓额160万美元)。[2023/1/7 10:59:30]

②攻击者通过公共函数`setOracleData()`将预言机设置为一个恶意的预言机。

安全公司CertiK:名为Ghostmixer的项目存在高风险:4月8日消息,安全公司CertiK表示,名为Ghostmixer的项目存在高风险,该项目通过可疑金库的存款不定期铸造代币。CertiK提醒不要与该项目的任何智能合约交互。[2021/4/8 19:57:59]

③由于预言机已被替换,预言机输出的rTokens价格被操纵。

④攻击者用被操纵的价格借到了346,199USDC。

⑤攻击者将步骤4中获得的USDC换成BNB,并将BNB发送到攻击合约中。

⑥攻击者重复步骤4和5,耗尽BTCB、DAI、USDT和BUSD。

⑦攻击者使用函数`setOracleData()`再次改变预言机,还原了该预言机的状态。

Kava旗下应用Harvest.io通过Certik的代码审计:区块链安全公司CertiK对Kava旗下应用Harvest.io模块的代码系统进行了审计,未发现重大或关键漏洞,验证了应用的可信度。

Harvest.io是一个跨链货币市场,也是首批搭建在Kava区块链上的应用之一。Harvest支持加密用户能够使用主流加密货币进行借贷和赚取收益。[2020/10/27]

Simple Price预言机 : 

https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code

声音 | Larry Cermak:加密衍生品交易所2月份日均交易量创历史新高:The Block分析师Larry Cermak发推称,加密衍生品交易所FTX本月的表现创下新纪录。昨日,FTX成交量创历史新高,2月份日均成交量较1月份增长55.8%。BitMEX也有类似的趋势,其交易量仍比FTX高出6倍以上。2月份BitMEX的日均交易量增长了约33%。[2020/2/22]

Cointroller: https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code

资产地址:  Rtoken 0x157822ac5fa0efe98daa4b0a55450f4a182c10ca

新的(有问题的)预言机: 

0xa36f6f78b2170a29359c74cefcb8751e452116f9

原始价格: 416247538680000000000

更新后的价格: 416881147930000000000000000000000

Rikket Finance 是利用Cointroller中的SimplePrice预言机来计算价格的。然而,函数`setOracleData()`没有权限控制,也就是说它可以被任何用户调用。攻击者使用自己的(恶意的)预言机来替换原有的预言机,并将rToken的价格从416247538680000000000提升到4168811479300000000000000。

攻击者在两次交易中获得了2671枚BNB(价值约701万人民币)。攻击者已使用tornado.cash将所有的代币进行了转移。

漏洞交易:

● https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44

● https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492

相关地址:

● 攻击者地址:

0x803e0930357ba577dc414b552402f71656c093ab

● 攻击者合约:

0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209

0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

● 恶意预言机:

https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f

https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9

●被攻击预言机地址:

该次事件可通过安全审计发现相关风险。CertiK的技术团队在此提醒大家,限制函数的访问权限是不可忽略的一步。

标签:CERBNBUSDANCcere币总量togetherbnb可以推到的有谁doge币怎么换成usdtbscgold.finance

UNI热门资讯
WEB3:Web3 建设者你们好 这份去中心化建设宝典请你收下

建设者如何使用 Web3 系统的新型构件来实现去中心化?关于去中心化前景的探讨和争论已经汗牛充栋,涵盖的问题形形色色,从它的重要性,到谁将操控互联网底层软件的这样的更大问题.

1900/1/1 0:00:00
以太坊:金色观察 | 消除碳足迹 以太坊合并四大支柱重振生态信心

与权益证明(PoS)的合并(The Merge)将是迄今为止对以太坊最深刻的升级,其重要性仅次于创世区块。这将是让世界看到一个主要的、分散的系统如何在实际上消除其碳足迹的例子.

1900/1/1 0:00:00
FTX:当音乐撞上元宇宙:是一种怎样的体验

在4月1号张国荣忌日这一天,腾讯音乐娱乐集团携手环球音乐旗下厂牌宝丽金共同呈现了“张国荣2000年《热·情》演唱会超清修复版”.

1900/1/1 0:00:00
RCH:元宇宙起源(下):从科幻小说到可进入的虚拟世界

引言在雷德利·斯科特导演的电影《普罗米修斯》中,未来世界的人们科技已经高度发达,物质上的进步已不再是最重要的目标,对于人类来说,关于物种起源的真相成为了更宏大的文明议题,众多学者为此前赴后继.

1900/1/1 0:00:00
金色学院前沿课第六讲: 零知识证明:潜力与价值

本课主题:零知识证明:潜力与价值课程介绍:也许你曾经听说过ZK Proof或零知识证明。但是,你好像从来没搞清楚它是什么?在本节课中,你所有关于零知识证明的问题都将得到解答,我们从例子出发,讲解.

1900/1/1 0:00:00
STA:黑客攻击事件 算法稳定币项目Beanstalk Farms被盗损失达1.82亿美元

2022年4月17日,算法稳定币项目Beanstalk DAO遭受黑客攻击,损失已达1.82亿美元.

1900/1/1 0:00:00