链闻消息,ValueDeFi的MultiStables保险库遭遇闪电贷攻击,慢雾安全团队于第一时间跟进并进行相关分析,以简要的形式呈现给大家,供大家参考。1.攻击者首先从Aave中借出80000个ETH,为攻击做准备;2.攻击者使用80000个ETH在UniswapWETH/DAI池中用闪电贷借出大量的DAI和在UniswapWETH/DAI兑换出大量的USDT;3.用户调用ValueMultiVaultBank合约的deposit合约使用第2步中小部分的DAI进行充值,ValueMultiVaultBank合约中一共有3种资产,分别是3CRV、bCRV、和cCRV。ValueMultiVaultBank合约在铸币的时候会将合约中的bCRV、cCRV转换成以3CRV进行计价,转化的途径为bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的价格。转换完成后,ValueDeFi合约根据合约中总的3CRV的价值和攻击者充值的DAI数量计算mVUSD铸币的数量;4.攻击者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兑换USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的价格;5.攻击者在ValueMultiVaultBank合约中发起3CRV提现,此时ValueMultiVaultBank合约和第3步一样,会先将合约中的bCRV、cCRV转换成以3CRV计价,由于在第4步中,USDC/3CRV的价格已经被拉高,导致换算的过程中,ValueMultiVaultBank合约中的bCRV,cCRV能换算成更多的3CRV,也就是说使用同等份额的mVUSD可以换取更多的3CRV;6.拿到3CRV后,攻击者到Curve的DAI/USDC/USDT池中使用3CRV换回DAI,并在Uniswap中兑换回ETH,然后归还Aave的闪电贷。总结:由于ValueDeFi合约在铸币过程中将合约资产转换成3CRV时依赖CurveDAI/USDC/USDT池中USDC/3CRV的价格,导致攻击者可以通过操控CurveDAI/USDC/USDT池中USDC/3CRV的价格来操控mVUSD/3CRV的价值,从而获利。
慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]
慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]
慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]
风险提醒:EOS作为曾经红极一时的热门公链,由于众所周知的种种原因导致越来越多社区成员和投资人的失望,今年比特币、DeFi、以太坊生态进展迅速,但EOS却是一蹶不振.
1900/1/1 0:00:00亲爱的用户:为了更好地服务用户,币安全仓杠杆已增加AAVE资产,并开放AAVE/USDT、AAVE/BTC全仓交易对.
1900/1/1 0:00:00亲爱的大币网(Dcoin)用户:经过大币云矿IPFS·Filecoin云算力产品用户为期4天的投票,最终投票结果为:方案一最终投票数占总票数百分比为81.92%.
1900/1/1 0:00:00各位币友大家晚上好,下面老李跟大家分享下11.14日上午给出的全网公开单和11.14日下午给出的单子的走势盈利情况11.14日主空思路大获全胜完美止盈出局,BTC三单总获利760点.
1900/1/1 0:00:00如果Ripple关闭,XRP仍会交易吗?是的,首席执行官布拉德·加林豪斯最近说,在莱特币的创始人退出该项目以证明自己的观点之后,利用莱特币的成功.
1900/1/1 0:00:00“千百年来,有几个生意模式一直没有变:菠菜、颜色与借贷。其中菠菜与颜色的长久依赖于对客户欲望的引诱,而借贷的永续更多仰仗放贷机构的自我品性与极端压力测试.
1900/1/1 0:00:00