8月4日,去中心化做市商 Popsicle Finance 和收益聚合平台 Wault Finance 接连遭到攻击,分别损失 2,070 万美元和 88.8 万美元。
PeckShield「派盾」安全人员第一时间定位分析,发现在 Popsicle Finance 的安全事件中,攻击者创建了 3 个合约,即合约 A、B、C,并在 8 个流动池中重复调用 A.deposit()、A.transfer(B)、B.collectFees()、B.transfer(C)、C.collectFees() 进行攻击。
MakerDAO“黑色星期四”相关诉讼正式提交仲裁:9月29日消息,一项指控MakerDAO于“黑色星期四”事件虚假陈述DAI相关风险的诉讼已正式提交仲裁。MakerDAO用户Peter Johnson于2020年4月14日提起诉讼,声称DAI的服务条款故意歪曲MakerDAO协议结构,以淡化使用该协议的风险,并提起了近3000万美元的损害赔偿。此前9月22日,MakerDAO通过社区投票决定不会对“黑色星期四”事件中遭受损失的用户进行补偿。(Cointelegraph)[2020/9/29]
PeckShield「派盾」简述攻击过程:
第一步,攻击者从 Aave 中通过闪电贷借出 3,000 万 USDT、1,300 WETH、1,400 BTC, 3,000 万 USDC、3,000 万 DAI 和 200,000 UNI;
黑色星期四以来交易所持有的BTC下降约10%:金色财经报道,Glassnode的数据显示,自3月12日“黑色星期四”以来,加密货币交易所持有的BTC余额下降了约10%,而交易所持有的以太坊的余额在继续增加,年初至今增加了10.5%。[2020/6/12]
第二步,调用合约 A 的 deposit() 函数,在 USDT-WETH PLP 流动池中添加 3,000 万 USDT 和 5,460 WETH,同时获得 10.52 PLP tokens;
第三步,A 将 10.52 PLP tokens 转给 B;
第四步,调用合约 B 的 collectFees() 函数,旨在更新 tokenRewards;
清算损失者要求MakerDAO为“黑色星期四”承担责任:在黑色星期四,价格暴跌将许多终身加密货币坚定者的积蓄都化为乌有。尽管该系统在技术上没有出现故障,但一系列因素使一些机会主义者在抵押品拍卖中胜出,尽管他们的出价极低。而承受损失的人声称,他们要求MakerDAO对这一事件负责。其中,一些人指责MakerDAO缺乏责任感。他们要求回答一些问题,例如为何将治理协议最低竞标时间从3天更改为10分钟。到目前为止,MakerDAO还没有针对清算受害者的计划援助。(CoinDesk)[2020/3/25]
第五步,B 将 10.52 PLP tokens 转给 C;
第六步,调用合约 C 的 collectFees() 函数,旨在更新 tokenRewards;
黑客受访称:针对数字货币的黑色产业链将彻底形成 99%的用户将陷入不安全之中:据一本财经文章报道,在近日受访的某黑客称,将有99%的黑客会转战数字货币领域,他们集体作战、信息收集、入侵潜伏、“黑箱”洗币等,会形成一条完整的产业链。
核心原因是:数字货币领域尚处在灰色地带,很多国家并未合法化。黑客通常将成立3个月左右的交易所作为最佳攻击目标。他们将币偷走有两个方式,一是找到交易所的“币池,将币划走;另一个方式是找到一些用户钱包的账号密码,将提币地址改成自己的。他们通常只会偷主流数字货币,比如比特币、以太坊、莱特币等。盗币后,他们直接将钱包隔离网络,等到风声过去再变现。胆大的会直接换成钱和不动产。另外,在多个交易所之间“洗币”是最新趋势。黑客Air称,随着数字货币有集中化趋势,他们正在尝试通过撞库、钓鱼等方式,拿到这些大佬在交易所上的账号和密码。Air预估,今年下半年,针对数字货币的黑色产业链将彻底形成。届时,99%的用户将陷入不安全之中。[2018/2/12]
第七步,C 将 10.52 PLP tokens 转给 A,便于 A 移除流动性;
第八步,调用合约 A 的 withdraw() 函数,移除流动性,A 获得 3,000 万 USDT 和 5,460 WETH;
第九步,调用合约 B 的 collectFees() 函数,获得奖励 215 万 USDT 和 392 WETH;
第十步,调用合约 C 的 collectFees() 函数,获得奖励 215 万 USDT 和 402 WETH;
最后,攻击者重复操作二至十的步骤,归还闪电贷完成攻击。
PeckShield「派盾」安全人员第一时间定位分析,发现 Wault Finance 的攻击手段和此前损失 1,000 多万美元的 yDAI 相似,即使在 USDT-WEX 交易对的价格被操纵的情况下,stake() 函数仍可通过相关的 USDT-WEX 交易对强制将 USDT 兑换为 WEX。
第一步,攻击者通过闪电贷从 WUSD-USDT 池中借出 1,683 万 WUSD,
第二步,调用 WUSDMaster 赎回 1,503 万 USDT (90%)和 1.065 亿 WEX(10%),此时 WEX 的价格为 0.015 USDT;
第三步,攻击者从 PancakeSwap 通过闪电贷借出 4,000 万 USDT,并将其中 2,300 万 USDT 兑换为 WEX,此时 WEX 的价格上升至 0.044 USDT,攻击者获得 5.179 亿 WEX;
第四步,攻击者重复调用 stake() 函数,质押 68 次 25 万 USDT(总计 1,700 万 USDT),每次质押 WUSDMaster 都会将其中 10% 的 USDT 强制兑换为 WEX,此时 WEX 的价格为 0.14 USDT;
第五步,攻击者归还 1,688 万 WUSD 闪电贷;
第六步,攻击者用 6.24 亿 WEX 兑换为 USDT, 获得 2,593 万 USDT,随后归还 4,012 万 USDT 的闪电贷;此时攻击者获利 11 万 WUSD 和 84 万 USDT,并将这些代币在 PancakeSwap 上兑换为 370 ETH,并通过 AnySwap 跨链到以太坊上。
受到安全事件的影响,WEX 短时腰斩,从 0.012 美元跌至 0.006 美元。
2020 年 12 月 1 日,信标链发布,以太坊由此踏上了向 PoS (权益证明) 共识过渡的征程.
1900/1/1 0:00:00如果你不想持有一只股票十年,那就十分钟也不要持有。--沃伦·巴菲特区块链里的每一个游戏,你几乎都能在传统游戏里找到映射。游戏如此,产业链亦如此.
1900/1/1 0:00:00Pendle 目前支持 aUSDC 和 cDAI 两种收益率代币,其计划部署到新的区块链和 L2 解决方案上,并支持新的基础资产.
1900/1/1 0:00:00AutographNFT 允许用户在智能合约中使用其 Web2 身份,可以让网络世界中的内容和人之间创建多维的新关系.
1900/1/1 0:00:00随着加密艺术及 NFT 技术的发展,越来越多的艺术家、藏家对艺术作品的创作、收藏不再仅仅局限于将实体艺术作品上链或传统形态的数字艺术作品,人们都在朝着更新、更尖端的技术探索.
1900/1/1 0:00:00Lumino, 照亮云图前行道路上的引领之光。Lumino是什么?Lumino的中文含义为发光、照明.
1900/1/1 0:00:00