前言
8月30日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击,损失超1800万美元。实验室第一时间跟踪本次事件并分析。
涉及对象
攻击涉及合约地址:
0x38c40427efbaae566407e4cde2a91947df0bd22b
0x0ec306d7634314d35139d1df4a630d829475a125
Cream Finance攻击者在过去6个月内将2100万枚DAI换成1.15万枚ETH:金色财经报道,据派盾预警监测,Cream Finance闪电贷攻击者将50万枚DAI兑换为约278枚ETH,并转入TradeOgre地址,在过去6个月内已将2100万枚DAI换成1.15万枚ETH,并将其转移到TradeOgre地址。
该地址目前持有价值1200万美元的加密货币,包括3,890枚ETH和500万枚DAI。此前去年10月消息,DeFi协议Cream Finance遭闪电贷攻击,损失超1.3亿美元。[2023/5/18 15:10:32]
受害涉及合约地址:
曼联官方NFT系列被指控抄袭艺术家DesLucrece的作品:金色财经报道,曼联足球俱乐部的官方NFT系列被指控抄袭艺术家DesLucrece的作品,DesLucrece是一位以Des Monsters NFT系列而闻名的匿名艺术家,该系列目前在OpenSea的地板价为17.5ETH(约20,825美元)。一位Twitter用户指责曼联的“The Devils”系列与DesLucrece的作品几乎相似,包括相同的角色设计、配色方案等。曼联于今年早些时候首次与Tezos基金会合作,并于12月21日开始发布“The Devils”。该系列共有7,777个NFT,每个售价约36美元,此后已售罄。DesLucrece在推特上表示,他和相关方正在商讨解决方案,并等待曼联的回复。[2022/12/29 22:13:05]
CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6
挖矿项目CREAM疑似再次出现Bug,用户无法提出WETH:9月18日,挖矿项目CREAM疑似再次出现Bug,社群用户表示,当用户使用fWETH在CREAM兑换WETH时,打入fWETH,但是CREAM并未转出WETH。有用户表示,CREAM因流动性不足导致该事件的发生。据悉,9月16日,CREAM由于在分配合约中多加了一个0,导致crCREAM质押池中的CREAM奖励分配速度变为原来的10倍。(区块律动)[2020/9/18]
CEther:0xd06527d5e56a3495252a528c4987003b712860ee
Morgan Creek创始人:以太坊与法币没有任何区别:Morgan Creek Digital创始人Anthony Pompliano在其Off-chain页面上表示,以太坊与法币没有任何区别。其一,没有固定的供应;其二,通胀供应计划;其三,由一小部分人决定货币政策。对那些相信ETH是货币的人来说,好消息是,到目前为止,每一次供应计划的改变都降低了新发行率,但坏消息是,增加新发行率的选择总是存在的。这类似于我们目前的法定货币政策,决策者可以就进入系统的新货币的生产状况作出增减决定。”(ZyCrypto)[2020/3/3]
Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2
简述攻击流程
首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH
抵押ETH获得凭证
通过合约0x38c4调用CErc20Delegator合约借出19,480,000AMP
通过重入漏洞继续调用CEther合约借出355ETH
使用合约0x0ec3对合约0x38c4进行超额借贷清算
合约0x38c4转移凭证给合约0x0ec3赎回约187ETH
归还闪电贷
漏洞成因分析
获利条件
borrowFresh函数在发生借贷时是先通过doTransferOut函数转账,再记录最新变化
攻击条件
doTransferOut函数包含的transfer函数会使用_callPostTransferHooks函数会回调调用合约的tokensReceived函数
总结
本次闪电贷安全事件主要是项目方在设计代币时没考虑到协议之间的兼容性引发的重入危机,其实在前段时间已经爆出拥有类似回调功能的ERC777代币存在重入漏洞,如果项目方及时发现跟进,应该能减少甚至避免损失。
知道创宇区块链安全实验室再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
今年区块链能出圈的,还真不全是比特币。一直不温不火的NFT市场在今年迎来爆发式增长。Coingecko数据显示,NFT市场总量已达230亿美元,仅一周内的市场增长就超过4亿美元.
据NonFungible.com数据显示,2021年第一季度的NFT交易量超过了20亿美元,是前三个月交易量的20倍以上,是2020年一季度交易量的131倍。进入第二季度后NFT交易量有所回落.
“为工具而来,为网络而战”是引导社交网络的经典策略。它旨在解决一个棘手的问题:当没有人与你交往时,你如何说服人们加入你的社交网络?一种方法是构建一个单机工具,让人们使用该产品.
加密货币基金ArkStreamCapital在2021年第二季度共投资了近二十个项目,我们将以项目简介、赛道分析出发,来阐述为什么投资这些项目的缘由.
尽管从美国德克萨斯州到俄罗斯西伯利亚的数据中心都在争先恐后地提供机位和电力,但那些因禁令离开中国的大型比特币矿工们也要数月的时间才能重新开始运营,而许多较小的矿工可能根本无法搬迁.
烤仔创作者联盟丨7月16日,全国碳排放权交易市场启动上线交易。发电行业成为首个纳入全国碳市场的行业,纳入重点排放单位超过2000家。我国碳市场将成为全球覆盖温室气体排放量规模最大的市场.