USD:Polygon链上LibertiVault合约遭遇攻击分析

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Polygon链上LibertiVault合约遭遇攻击，损失约123ETH和56,234USDT价值约29万美元，以及以太坊链上35ETH和96223USDT价值约16万美元，总共超45万美元。技术人员分析发现，本次攻击是由于LibertiVault合约存在重入漏洞所导致。

Polygon联合创始人：尽管加密货币低迷，仍然看好Web 3:金色财经报道，比特币和加密货币市场的近期的低迷让行业专家预计加密寒冬会延长，但Polygon联合创始人 Sandeep Nailwal 认为 Web 3 的总体前景仍然看涨。这位高管断言，此次修正更多地与“宏观”有关，而不是 Web 3 领域的任何根本弱点。在最新的 Twitter 帖子中，Nailwal表示：“长期来看，Web3 仍然非常看好，所以新手要不断学习，而开发者要不断开发！”

Polygon 联合创始人预测，当美联储加息时，通胀在 3-6 个月内达到峰值后，市场最终将触底。（cryptopotato）[2022/6/16 4:30:44]

1、攻击者使用闪电贷借出500万USDT，调用LibertiVault合约deposit函数进行质押，其质押逻辑会将质押的代币一部分用于兑换，然后再计算铸币数量，铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。

Mochi.Market与以太坊扩容方案Polygon达成合作:多链去中心化NFT交易生态系统Mochi.Market与以太坊扩容方案Polygon达成合作，将其NFT平台引入Polygon网络。[2021/4/27 21:04:08]

2、而兑换操作swap会调用黑客的合约，此时黑客第一次重入调用deposit，并在此函数中二次重入，向合约打入250万USDT。

Bittrex和Poloniex要求法官就集体诉讼案做出即决判决:金色财经报道，代表加密货币交易所Bittrex和Poloniex的律师周五通知纽约南区的Failla法官，他们打算在集体诉讼案中要求即决判决（Summary Judgment）。根据法院文件，两者涉及欺诈和市场操纵。该动议称，原告无法“证明其主张的核心前提”，即诉讼中有争议的加密货币地址属于Bitfinex，或Bitfinex在利用资金操纵市场。文件解释称，这两个地址都属于一个与Bitfinex没有明显联系的人。据悉，2020年6月，Bittrex和Poloniex作为被告被添加到诉讼中。[2020/8/8]

3、二次重入结束后，合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币，第一次重入的deposit函数运行结束后，黑客又向其中打入了250万USDT。

4、此时，执行完了外层deposit函数中的兑换操作，合约又会按照250万USDT与合约USDT余额比值进行铸币。

5、问题就出在第四点，按理来说，第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数，但这里是使用的重入的形式，合约余额在最开始就已经获取了，所以参数并未改变，还是使用的原来的余额进行计算，导致给黑客铸了大量的凭证代币。

6、最后黑客移除凭证代币，归还闪电贷获利。

Beosin

企业专栏

阅读更多

金色财经

金色荐读

Block unicorn

金色财经 善欧巴

区块链骑士

Foresight News

深潮TechFlow

标签：POLUSDUSDTSDTPOLY价格OUSDtrustwallet如何添加usdtusdt币交易违法吗能投入吗

Fil热门资讯