Staking:慢雾：NimbusPlatform遭闪电贷攻击，攻击者获利约 278枚BNB_SCSC

据慢雾安全团队情报，2022年12月14日，BSC链上的NimbusPlatform项目遭到攻击，攻击者获利约278枚BNB。

1.攻击者首先在8天前执行了一笔交易，把20枚BNB换成NBU_WBNB再换成GNIMB代币，然后把GNIMB代币转入Staking合约作质押，为攻击作准备

慢雾：过去一周Web3生态因安全事件损失约2400万美元:6月19日消息，据慢雾发推称，过去一周Web3生态系统因安全事件损失约2400万美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital，总计23,795,800美元。[2023/6/19 21:46:18]

2.在8天后正式发起攻击交易，首先通过闪电贷借出75477枚BNB并换成NBU_WBNB，然后再用这些NBU_WBNB代币将池子里的绝大部分NIMB代币兑换出

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。[2022/5/10 3:03:22]

3.接着调用Staking合约的getReward函数进行奖励的提取，奖励的计算是和rate的值正相关的，而rate的值则取决于池子中NIMB代币和GNIMB代币的价格，由于NIMB代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的，导致其由于闪电贷兑换出大量的代币而变高，最后计算的奖励也会更多

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

4.攻击者最后将最后获得的GNIMB代币和拥有的NIMB代币换成NBU_WBNB代币后再换成BNB，归还闪电贷获利

此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控，从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。

参考攻击交易：https://bscscan.com/tx/0x42f56d3e86fb47e1edffa59222b33b73e7407d4b5bb05e23b83cb1771790f6c1

标签：StakingAKIDFFSCSCstaking币圈ZILLAKINGDFF币SCSC币

Polygon热门资讯