火星链 火星链
Ctrl+D收藏火星链
首页 > 非小号 > 正文

STA:慢雾:GenomesDAO被黑简析

作者:

时间:1900/1/1 0:00:00

据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。4.最后将LP发送至DEX中移除流动性获利。本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

慢雾:DOD合约中的BUSD代币被非预期取出,主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报,2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下:

1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币,即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD 代币转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]

慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]

声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。

慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]

标签:DODUSDBUSDSTADOD价格gusdt钜达币在香港怎么样busd币价格今日行情STASH币

非小号热门资讯
USD:招联金融董希淼:数字人民币是中国金融高质量发展的“新基建”

8月8日消息,在江西井冈山举办的2022中国金融高质量发展论坛上,招联金融首席研究员、复旦大学金融研究院兼职研究员董希淼表示,数字货币是数字金融体系的重要组成部分.

1900/1/1 0:00:00
HOTC:Hotcoin關於開放RAD交易的公告

尊敬的用戶:Hotcoin將於(GMT8)2022年8月9日18:00開放RAD/USDT交易業務,提幣、充值業務開放時間將以公告另行通知.

1900/1/1 0:00:00
Citadel:CITEX平台早报-2022年8月8日

10:00数据BTC全网算力216.07EH/S当前挖矿难度28.17T理论收益0.00000440BTC/T/天ETH全网算力901.69TH/S当前挖矿难度12.10P理论收益0.

1900/1/1 0:00:00
EDE:贝莱德在今年上半年已经损失了1.7万亿美元的客户资金

金色财经报道,根据报告,贝莱德在今年上半年已经损失了1.7万亿美元的客户资金。在该公司的财报电话会议上,董事长兼首席执行官LarryFink表示,对于股票和债券来说,2022年都是50年来最糟糕.

1900/1/1 0:00:00
TFL:熊市避坑策略,如何避开局项目?

这两天Polygon链上游戏项目Dragoma今日发生软地毯攻击,官方卷走Matic估约270万美元,平台代币DMA价格随之重挫99.9%近乎归零.

1900/1/1 0:00:00
POW:ETHPoW免费套利机会?对散户来说是巨大的陷阱!

随着以太坊合并即将到来,进行硬分岔以延续PoW版本「ETHPoW」的讨论声量也逐渐增大。不少研究人士对此议题提出论点,对于是否有套利空间众说纷纭.

1900/1/1 0:00:00