据BeosinEagleEyeWeb3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队对事件进行了分析结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金。第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02CELO提高到0.73CELO。第五步:攻击者进行了累计4次抵押MOO,10次swap,28次借贷,达到获利过程。
安全团队:FTX交易所遭到gas窃取攻击事件技术分析:10月13日消息,据Beosin EagleEye Web3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析,结果如下:
1.以其中一笔攻击交易为例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)
2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。
3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限(最小1天)进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限(本次黑客设置的时间期限为最小值1天),便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。
4. 1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。
截止发文时,通过Beosin Trace追踪发现,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XEN Token换成ETH转移。[2022/10/13 14:26:15]
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过BeosinTrace追踪发现攻击者将约93.1%的所得资金返还给了MoolaMarket项目方,将50万CELO捐给了impactmarket。自己留下了总计65万个CELO作为赏金。
安全团队:已有约1100万美元Nomad被盗资金转入Tornado Cash:8月4日消息,据派盾(PeckShield)监测显示,截止今日,已有约 1100 万美元 Nomad 被盗资金转入 Tornado Cash。
此前消息,Rari Capital攻击者在Nomad事件中获利500万美元,并将资金转移到0x72ccbb,然后通过Tornado Cash进行混币。[2022/8/4 4:12:19]
此前消息,攻击者将93.1%的资金返还给Moola治理多签钱包,并将部分未归还的资金捐赠给了MoolaMarket存款机构ImpactMarket。
跨链协议Ren Protocol现已集成Optimism:7月5日消息,开放跨链协议Ren Protocol现已集成Optimism,用户现在可以通过Ren Bridge更直观地桥接BTC、ETH和USDC等Ren所支持的资产往返于Ren和Optimism之间。同时也可以使用RenJS SDK在Optimism上构建跨链dApp。[2022/7/5 1:52:44]
据欧盟委员会本周发布的一份研究报告显示,标准的传统金融政策无法有效监管去中心化金融。欧盟委员会数字金融部的马蒂亚斯·莱文在周五概述该报告的网络研讨会上说:“这份报告是我们进一步了解DeFi的雄心.
据TheBlock报道,根据提交给美国证券交易委员会的一份文件显示,Coinbase首席产品官SurojitChatterjee已于10月28日辞职.
据ChannelNewsAsia报道,新加坡副总理黄循财在该国议会透露,在宣布减记高达2.75亿美元的FTX投资之后,淡马锡已正式启动内部审查,本次审查将由一个独立的团队完成.
据CoinDesk报道,根据该媒体获取的一份私人财务文件显示,FTX首席执行官SamBankman-Fried旗下AlamedaResearch截至6月30日共持有146亿美元资产.
据彭博社报道,已申请破产的加密借贷平台CelsiusNetwork的审查员ShobaPillay发布的一份中期报告详细说明了该公司为客户保管的数字资产相关的两种产品在会计控制和运营方面的缺陷.
据TechCrunch报道,喀麦隆加密和储蓄平台Ejara完成800万美元A轮融资,Anthemis与Dragonfly领投.