据BeosinEagleEyeWeb3安全预警与监控平台检测显示,PLTD项目遭受黑客攻击,其交易池中的所有BUSD被全部兑空,攻击者共获利24,497枚BUSD。经过Beosin安全团队分析,本次攻击主要是利用了PLTD合约中的代码漏洞,通过闪电贷攻击将Cake-LP(0x4397c7)中的PLTD代币余额降为1,然后用手中的PLTD将所有的BUSD全部兑换到攻击合约中。具体细节如下:
第一步:攻击者通过DODO协议的闪电贷发起了2次闪电贷借贷,同借贷66.6万BUSD,作为攻击准备金;第二步:攻击者将66.6万的BUSD全部兑换为157万的PLTD代币,此时,攻击者手中已经持有的大量的PLTD代币,后续将利用这些代币达到操控Cake-LP中的PLTD代币余额的目的;第三步:攻击者查询当前的bron值与Cake-LP的PLTD余额,这是在做攻击前的检查,注意这两个值很关键,关系到攻击的成败;第四步:攻击者直接向Cake-LP(0x4397c7)发送了11.6万的PLTD代币,注意,这个数量刚刚是上一步中Cake-LP中的PLTD代币余额的两倍减去1。第五步:攻击者使用skim将第四步多转入的PLTD取回,由于PLTD合约的transfer函数中,如果from地址是uniswapV2Pair,那么将会调用_tokenTransferBuy。第六步:前面所有的操作都是为了这一步做准备。这一步,攻击者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae这个地址转入1PLTD,由于这个地址不是Cake-LP的地址,这次转账调用的内部函数是_tokenTransfer这个内部函数,问题代码在第451行到456行,由于第四步中,将_bron设置为了Cake-LP的余额减去1,并且在第五步恢复了Cake-LP的余额,这一步直接将Cake-LP的余额减至1(这里略去了通缩分红型代币的tAmount与rAmount转换,这个转换在本次攻击中并不重要),然后再调用Cake-LP的sync函数,将余额同步为reserve。第七步:攻击者将手中的所有PLTD代币,全部兑换为BUSD,几乎掏空了Cake-LP的全部BUSD余额,攻击者获得了69万的BUSD。并将其中的66.6万BUSD归还闪电贷,剩余为本次攻击获利24,497BUSD,并全部转入了0x083c057221e95D45655489Fb01b05C4806387C19地址,截止发文时,该资金未进行转移。
动态 | EOS Dapp活跃用户140960 交易额6953万元:据DappReview数据显示,今日Dapp新增5个,EOS Dapp活跃用户140960,交易额6953万元(+30%);Tron Dapp活跃用户32280,交易额1.21亿元(+6%);ETH Dapp活跃用户18399,交易额5058万元(-12%)。过去24小时Dapp交易额:EOS最高的为“EOSPlay”(交易额1846万元);Tron最高的为“WINk(TRONbet)”(交易额9248万元);ETH最高的为“NEST”(交易额3273万元)。[2019/8/21]
针对本次攻击事件,Beosin安全团队提出以下建议:1.在合约上线之前,项目方应寻找第三方安全公司进行完整的安全审计;2.在代币合约中,直接操作Pair的代币余额是非常危险的行为,建议项目方如非必要,千万不要进行此操作。
动态 | EOS Mediterranean 发布EOS投票追踪器 Beta版:据 IMEOS 报道,EOS Mediterranean 发布 EOS 投票追踪器 Beta 版,该工具能够追踪个人投票者和投票代理账户的投票情况,显示24小时的投票变化,支持公投测试。目前这版 Beta 版是第二个测试版本。[2018/11/23]
攻击交易:0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0,
EOS主网启动团队发布联合声明:安全性是首要考虑的任务:EOS主网启动团队发布联合声明,当前进入了安全测试阶段, 为了更好地进行测试,目前同时存在两条测试网络用于安全测试,但最后只有一个名叫EOS的主网上线。
现阶段,建立了主网的github代码库;检验确认了快照里的163,936份账号的EOS数额的正确;确认了有效的系统账户和合约;产生了两条候选主链。
安全性是EOS主网启动团队的首要任务。一支知名且广受赞誉的专业安全团队会联合EOS主网安全启动团队,旨在实现备选出块节点层次的安全实践能够实现标准化。
目前已经建立了一条供安全测试用的网络,供有意参与的候选节点对自己的架构进行严苛的安全测试。这一测试网络在启动后会持续存在,以提供持续的安全支持。这一网络是社区的共同资产。
请全体持币人注意,务必保护好私钥安全,在得到多个可信节点发布联合通告声明主网启动之前,不要进行操作。在未来四十八小时之内,EOS主网启动团队发布一则新的声明书来阐述届时最新的启动进展情况。
(注:EOS主网启动团队由EOS Core团队(此前的Ghostbusters团队)、BIOS BOOT Channel团队、中国安全启动团队构成,全球至少有90个节点候选者加入其中。)[2018/6/6]
攻击者地址:0x6ded5927f2408a8d115da389b3fe538990e93c5b
标签:ANSRANTOKENKENGermanShepherdDogTYRANTSentiment TokenKripton token
总部位于伦敦的Catapult在BlockchainCapital领投的种子轮融资中筹集了500万美元.
印度中央直接税委员会(CBDT)提出了一项新的共同纳税申报表(ITR),该申报表在很大程度上整合了现有的所得税申报表,该提案还寻求有关居住在国外的印度人的信息.
据中国人民银行官网,中国人民银行行长易纲在“2022年香港金融科技周”活动上表示,在设计数字人民币时,我们通过“双层运营”和“可控匿名”的方式,在保护个人隐私的同时维护金融安全.
据EOSNetwork官网,EOS网络正在努力达成验证者共识协议,以启动1亿美元的生态系统基金.
据《金融时报》报道,资产管理公司ProShares于2021年10月推出的美国首个比特币期货ETFProSharesBitcoinStrategy在推出一年后已下跌70%.
据CoinDesk报道,比特币矿企IrisEnergy周一表示,该公司正面临其贷款人的索赔,称其拖欠了两家特殊目的载体(SPV)持有的1.03亿美元设备贷款.
区块见闻