区块见闻 区块见闻
Ctrl+D收藏区块见闻

LOR:慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容_Sakai Vault

作者:

时间:

据慢雾区消息,EqualizerFinance今日遭受闪电贷攻击。此次攻击的主要原因在于EqualizerFinance协议的FlashLoanProvider合约与Vault合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。

慢雾安全团队以简讯形式将攻击原理分享如下:

慢雾:发现BNB Chain上一恶意合约地址,建议用户快速验证并撤销异常授权:8月20日消息,慢雾在推特发文提醒:请用户检查是否已将资产授权到BNB Chain上的一恶意合约地址:0x75117c9158f53998ce8689B64509EFf4FA10AD80。

该恶意合约尚未通过开源进行验证,但反编译显示其存在针对授权资产的任意转账后门。这种类型的后门让用户钱包在很长一段时间内保持正常使用,但当某天转移一笔金额稍大的资产时,它会突然被盗,而链上不会显示任何最近的异常授权。

用户可使用Revoke.cash和Rabby Wallet进行快速验证并撤销异常授权。以下是与上述合约相关的恶意地址:0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。请用户保持警惕。[2023/8/20 18:11:40]

1.EqualizerFinance存在FlashLoanProvider与Vault合约,FlashLoanProvider合约提供闪电贷服务,用户通过调用flashLoan函数即可通过FlashLoanProvider合约从Vault合约中借取资金,Vault合约的资金来源于用户提供的流动性。

动态 | 慢雾:9 月共发生 12 起较典型的安全事件,供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件,包括:EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外,慢雾区块链威胁情报(BTI)系统监测发现,针对区块链生态的供应链攻击越来越多,形如:去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击,还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入,进行实施盗币攻击。[2019/10/1]

2.用户可以通过Vault合约的provideLiquidity/removeLiquidity函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受Vault合约中的流动性余额与流动性凭证总供应量的比值影响。

声音 | 慢雾:Dapp、交易所等攻击事件造成损失已近41亿美金:慢雾数据显示Dapp、交易所等攻击事件造成的损失已达4098587697.68美金,半月增加近3亿美金。据2月28日报道,慢雾区上线“被黑档案库(SlowMist Hacked)”,目前各类攻击事件共造成约 3824082630.12 美金的损失。[2019/3/13]

3.以WBNBVault为例攻击者首先从PancekeSwap闪电贷借出WBNB

4.通过FlashLoanProvider合约进行二次WBNB闪电贷操作,FlashLoanProvider会先将WBNBVault合约中WBNB流动性转给攻击者,随后进行闪电贷回调。

5.攻击者在二次闪电贷回调中,向WBNBVault提供流动性,由于此时WBNBVault中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。

6.攻击者先归还二次闪电贷,然后从WBNBVault中移除流动性,此时由于WBNBVault中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。

7.攻击者通过以上方式攻击了在各个链上的Vault合约,耗尽了EqualizerFinance的流动性。

标签:KAKAKALORTALKAKI币香港狗Sakai VaultLordlessTALI价格

中币交易所热门资讯
BER:数字资产数据提供商Amberdata完成3000万美元B轮融资,Coinbase等参投_amb币燃烧

据Techcrunch报道,数字资产数据提供商Amberdata宣布完成3000万美元B轮融资,KnollwoodInvestmentCompany领投.

INVERSE:DeFi借贷协议Inverse Finance在今日的闪电贷攻击中损失120万美元_SEFI

据TheBlock报道,DeFi借贷协议InverseFinance在今日的闪电贷攻击损失120万美元。链上数据显示,犯罪者在北京时间16:47左右使用27,000个WBTC进行了闪电贷攻击.

AOG:韩国互联网巨头Kakao公布其基于文本和虚拟世界的双轨元宇宙战略_元宇宙

韩国互联网巨头Kakao今日公布其基于文本的元宇宙及基于虚拟世界的双轨元宇宙战略。此外,Kakao计划通过提供奖励来增加用户参与度,以此发展Web3.0市场.

RACE:Amber Group将于第三季度推出元宇宙平台Openverse_INS

据PRNewswire报道,数字金融科技平台AmberGroup宣布进入元宇宙,推出面向创作者、品牌和企业的Web3平台Openverse.

URAC:DeFi保险协议InsurAce称其将向受UST事件影响的索赔人支付总计1100万美元的赔偿金_RACE

据Cointelegraph报道,DeFi保险协议InsurAce表示,它完全有权利将受UST脱锚事件影响的人们的索赔期限从15天缩短到7天,但补充说,它已经处理了几乎所有173份提交的索赔.

LUN:Terra 创始人:将帮助采用挂钩机制吸收UST供应_LUNA

Terra创始人DoKwon发推表示,价格稳定机制正在吸收UST供应,但同时吸收这么多稳定币的成本已将链上交易的利差拉至40%,Luna价格大幅下降吸收套利.