据慢雾区消息, 2021 年 9 月 12 日,Avalanche 上 Zabu Finance 项目遭受闪电贷攻击,慢雾安全团队第一时间介入分析,并将分析结果分享如下。?
Zabu Finance 是 Avalanche 上的下一代去中心化金融 (DeFi) 项目。Zabu Finance 成熟的生态系统包括收益聚合、收益耕作、抵押、筹款。
以下是本次攻击涉及的具体地址:
1、攻击者首先创建两个攻击合约,随后通过攻击合约 1 在 Pangolin 将 WAVAX 兑换成 SPORE 代币,并将获得的 SPORE 代币抵押至 ZABUFarm 合约中,为后续获取 ZABU 代币奖励做准备。2、攻击者通过攻击合约 2 从 Pangolin 闪电贷借出 SPORE 代币,随后开始不断的使用 SPORE 代币在 ZABUFarm 合约中进行`抵押/提现`操作。由于 SPORE 代币在转账过程中需要收取一定的手续费 (SPORE 合约收取),而 ZABUFarm 合约实际接收到的 SPORE 代币数量是小于攻击者传入的抵押数量的。分析中我们注意到 ZABUFarm 合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但 ZABUFarm 合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时 ZABUFarm 合约实际接收到的 SPORE 代币数量小于攻击者在提现时 ZABUFarm 合约转出给攻击者的代币数量。3、攻击者正是利用了 ZABUFarm 合约与 SPORE 代币兼容性问题导致的记账缺陷,从而不断通过抵押/提现操作将 ZABUFarm 合约中的 SPORE 资金消耗至一个极低的数值。而 ZABUFarm 合约的抵押奖励正是通过累积的区块奖励除合约中抵押的 SPORE 代币总量参与计算的,因此当 ZABUFarm 合约中的 SPORE 代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。4、攻击者通过先前已在 ZABUFarm 中有进行抵押的攻击合约 1 获取了大量的 ZABU 代币奖励,随后便对 ZABU 代币进行了抛售。
声音 | 智能合约之父Nick Szabo:比特币ETF可能会导致更多的问题:据官方Twitter,智能合约之父Nick Szabo于8月12日发出的一系列推文显示其似乎对比特币ETF获得监管机构批准持规避风险的态度。他在推文中写道,“就我个人而言,我不会为为ETF或华尔街管理的资金游说,它们可能导致更多的问题。最近愚蠢的抛售已经或将很快摧毁这个领域的许多自以为是的、一无所知的东西。我们不需要新的人来代替他们。”[2018/8/14]
慢雾 AML 团队分析统计,本次攻击黑客获利约 60 万美元。
资金流向分析
慢雾 AML 旗下?MistTrack 反追踪系统分析发现,以太坊上的攻击者地址 (0x9ed...f86)?初始资金来自混币平台 Tornado.Cash 转入的 31 ETH。
声音 | Nick Szabo:层级组织的区块链项目总处于中心化状态:智能合约之父Nick Szabo今日表示:“我发现那些由层级组织(比如由风投投资的公司)推出的区块链项目总会处于中心化的状态中,这会破坏区块链的中心价值,即信任最小化。”[2018/7/20]
接着,将 30 WETH 跨链到?Avalanche。
攻击者在 Avalanche?上分别创建了攻击合约 1 和 2。
Nick Szabo:对集中Token的投资会带来额外的投资风险:加密货币早期投资者Nick Szabo在Twitter表示,对集中Token的投资会带来额外的投资风险,它们可能会在一夜之间由于欺诈、监管等变得毫无价值。[2018/5/23]
接着,攻击者通过攻击合约 1 将 WAVAX 兑换为 SPORE,并将 SPORE 抵押到 ZABUFarm 合约中。
攻击者通过攻击合约 2 从 Pangolin 闪电贷借出 SPORE 代币,随后多次在 ZABUFarm 合约中进行抵押/提现操作。
智能合约先行者Nick Szabo:不要放弃去中心化:在上周四于纽约举行的会议上,Nick Szabo,1996年首次提出开发智能合约概念的密码学专家,他敦促观众不要忽视区块链最初的承诺。“我只是想强调信任最小化和去中心化的好处,”他在参与智能合同小组讨论时说, “传统的银行模式是‘我们相信自己,你为什么不相信我们?'”他继续说道,认为客户可能不信任银行,“他们甚至可能会恨你。”[2018/4/22]
在获利后,攻击者将获利的约 45 亿 ZABU 代币多次兑换为 WAVAX 代币,再将 WAVAX 代币兑换为 201?WETH.e。
接着,攻击者将获利的 WETH.e 跨链到以太坊。
没有任何停歇,攻击者直接将获利资金通过 Tornado.Cash 转出。
经过以上分析,可以认为攻击者是较为专业的,毫不含糊地直接从 Tornado.Cash 转入初始资金,最后又通过 Tornado.Cash 顺利将获利资金转出。
此次攻击是由于 Zabu Finance 的抵押模型与 SPORE 代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。
开放世界方法论从元宇宙概念兴起,《原神》全球火爆,到《幻塔》上线,开放世界品类在移动端又掀起了一次热潮。《幻塔》上线一周后,基本保持在IOS畅销榜第三名,已然有了“爆款”的潜质.
1900/1/1 0:00:00一、导言?DAO(去中心化自治组织)是一种结构。以DAO为组织形态的项目在四五年的时间里已然扩展至各领域,而DeFi(去中心化金融)与DAO的相遇则被加密社区视作是意义深远之举:“DeFi 进入.
1900/1/1 0:00:00Meme币概念板的热度正在下降,这轮上行趋势的最大赢家仍是柴犬币SHIB(Shiba Inu),5天内超214%的涨幅令其冲上了加密资产市值排行榜的第九名之位.
1900/1/1 0:00:00最近海外很火的一个像素风链上社交平台:Chillchat吸引了众多目光,宣称要将做成“元宇宙中的Discord 3.0”以及“将NFT带入到日常生活中”.
1900/1/1 0:00:00DYDX 的强势表现让刷量和 Airdrop 持有者兴奋不已,再次证明在这个市场中,「Try Everything」有概率获得忠实的回报.
1900/1/1 0:00:00合成资产是DeFi世界在探索的热点之一,它在衍生品类别里边显得独特而复杂。下面我们介绍一种简单精悍的合成资产协议——Mirror protocol.
1900/1/1 0:00:00