区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > ADA > 正文

OUSD:OUSD遭“经典重入攻击”,损失770万美元,DeFi安全亟待解决_OLY

作者:

时间:

近日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击存入Origin智能合约来铸造OUSD稳定币,之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作,为OUSD持有者赚取回报。重入攻击重现凭空创造2050万枚OUSD

PeckShield通过追踪和分析发现,首先,攻击者从dYdX闪电贷贷出70,000枚ETH;随后,在UniswapV2中先将17,500枚ETH转换为785万枚USDT,再将所贷剩余的52,500枚ETH转换为2099万枚DAI;接下来,攻击者分四次铸造OUSD稳定币:第一次通过mint()函数铸造OUSD时,攻击者确实在Origin智能合约中存放了750万枚USDT,并获得750万枚OUSD;第二次通过mintMultiple()多种稳定币函数铸造OUSD时,攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”,并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中,此时智能合约收到2050万枚DAI,在尝试接收0枚假“稳定币”时,攻击者利用恶意合约进行劫持,在智能合约正常启动铸造2050万枚OUSD之前,调用mint()函数,先恶意增发了2050万枚OUSD,此次恶意增发由VaultCore合约调用rebase()函数实施。

外媒:德国和英国用户可使用PayPal在Coinbase上购买加密货币:金色财经报道,Bitcoin News在X平台(原推特)上表示,德国和英国的用户现在可以使用PayPal在Coinbase上购买加密货币了。[2023/9/2 13:13:19]

值得注意的是,为顺利实施劫持,攻击者在上述mint()函数调用时,真金白银地存入了2,000枚USDT,同时获得第三次铸币2,000枚OUSD。随后,调用oUSD.mint()函数第四次铸造2050万枚OUSD。

安全团队:一黑客从使用Profanity生成的以太坊地址中盗取95万美元的加密货币:9月26日消息,据派盾(PeckShield)监测,0x9731F开头的地址从使用Profanity工具生成的以太坊“靓号地址”中窃取了95万美元的加密货币,攻击者已将将732枚以太坊转移至Mixer。

此前消息,1inch发布报告称,通过Profanity创建的某些以太坊地址存在严重漏洞。[2022/9/26 7:21:17]

Poly Network:PolyBridge现已暂停使用Polygon Network:3月13日消息,Poly Network发推称,因为Polygon Network的不稳定性,PolyBridge现已暂停使用该网络,因此用户暂时不能进行与Polygon链有关的跨链交互。

PolyBridge将用链下验证取代链上验证。当链上验证激活时,Polygon将在PolyBridge上恢复。所有用户资产都是安全的。受影响的交易将于下周完成。[2022/3/13 13:53:50]

rebase指代币供应量弹性调整过程,即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制,即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时,攻击者共获得2800.2万枚OUSD,包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase()函数,攻击者所获得的OUSD总计上涨至33,269,000枚。最后,攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC;再在Uniswap中将1045万枚USDT兑换为22,898枚ETH,将390万枚USDC兑换为8,305枚ETH,将190万枚DAI兑换为47,976枚ETH,共计79,179枚ETH,并将其中70,000枚ETH归还到dYdX闪电贷中。据PeckShield统计,攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI,合计770万美元。对于次攻击事件,OriginProtocol官方回应称,正在积极采取措施,以期收回资金。随着DeFi生态的蓬勃发展,其中隐藏的安全问题也逐渐凸显,由于DeFi相关项目与用户资产紧密相连,其安全问题亟待解决。对此,PeckShield相关负责人表示:“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’,其整体安全性环环相扣,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”

标签:USDOUSDPOLOLYVUSDOUSD币polyx币最新消息POLYX币

ADA热门资讯
LEP:谷燕西:为什么说Google Pay的战略选择是错误的?_GOON

据美国媒体报道,GooglePay产品有了重大的升级。GooglePay开始同花旗银行等十一家银行合作,为Google的用户提供银行服务,包括为用户开设支付和储蓄账户.

稳定币:邹传伟:区块链对支付系统的影响_区块链

编者按:本文来自PlatON,Odaily星球日报经授权转载。区块链从发展伊始就与支付系统有紧密联系。中本聪发明了区块链,希望将比特币打造成点对点的电子现金系统.

TOKE:区块链、AI与大数据加持,电子合同正当时_ZAIF Token

编者按:本文来自百度超级链,星球日报经授权发布。11月19日,百度超级链举办了区块链电子合同公开课。百度超级链产品经理张一凡表示,在区块链技术、AI和大数据加持下,电子合同更安全、签约效率更高.

USD:中心化中继网络是适合Layer0的解决方案吗?_OUSD

编者按:本文来自MarlinProtocol,Odaily星球日报经授权转载。概述本文描述了使用单个中心化中继网络进行Layer0扩展的局限性-中继网络本质上成为信任的焦点,支持双重花费、51%.

加密货币:使用PayPal购买加密货币风险知多少_PAL

编者按:本文来自金色财经,Odaily星球日报经授权转载。全球最知名的线上支付系统之一PayPal被称作是西方国家的支付宝.

ILY:牛市将至,炒币和挖矿哪个更好上车?_pala币怎么样

如何在加密市场的不确定性中寻找确定性机会?如何平衡获益和风险,以最大化利益?炒币和挖矿哪个更适合牛市?最近,Odaily星球日报第62期超话邀请到了极客矿业创始人史伯平.