摘要:PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到重入攻击,造成价值770万美元的损失。
近日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击(Re-entrancyattack),造成价值770万美元的ETH和DAI的损失。
重入攻击是以太坊智能合约上最经典的攻击手段之一,著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉,损失价值5000万美元以太币。
自今年4月起,DeFi项目频遭重入攻击。4月18日,黑客利用Uniswap和ERC777标准的兼容性问题缺陷实施重入攻击;4月19日,Lendf.Me也遭到类似重入攻击;11月14日,黑客利用Akropolis项目的SavingsModule合约在处理用户存储资产时存在的某种缺陷连续实施了17次重入攻击,损失203万枚DAI。
数据:USDC Treasury销毁101,700,000枚USDC:金色财经报道,据Whale Alert监测数据显示,USDC Treasury销毁101,700,000枚USDC。[2022/12/17 21:50:06]
北京时间2020年11月17日,PeckShield监控到稳定币OUSD遭到重入攻击。OUSD是OriginProtocol推出的一种与美元挂钩的ERC-20稳定币,用户可通过将基础稳定币存入Origin智能合约来铸造OUSD稳定币,之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作,为OUSD持有者赚取回报。
重入攻击重现凭空创造2050万枚OUSD
PeckShield通过追踪和分析发现,首先,攻击者从dYdX闪电贷贷出70,000枚ETH;
USDT占比特币交易比重约为56.91%:金色财经消息,据cryptocompare数据显示,目前比特币交易情况按照交易币种排名,排名名第一的是USDT,占比为56.91%;排名第二的是美元,占比为15.47%;排名第三的是日元,占比为8.66%;排名第四的是欧元,占比为5.09%;排名五的是BUSD,占比为3.33%[2020/12/1 22:40:21]
随后,在UniswapV2中先将17,500枚ETH转换为785万枚USDT,再将所贷剩余的52,500枚ETH转换为2099万枚DAI;
接下来,攻击者分四次铸造OUSD稳定币:
第一次通过mint函数铸造OUSD时,攻击者确实在Origin智能合约中存放了750万枚USDT,并获得750万枚OUSD;
HUSD运营负责人Lynn:稳定币是构建DeFi乐高的基石:7月29日,合规稳定币HUSD运营负责人Lynn在金色财经直播活动中表示:稳定币不仅承担了区块链世界和传统资产中间价值流转桥梁工作,作为DeFi乐高的基石,也为价值的衡量、传输、储藏提供极大的动力。
Lynn认为,合规稳定币的核心是连接链上下的资产,而数字资产抵押稳定币和算法稳定币则更聚焦于DeFi等细分应用中,提供各类使用机会。相信未来DeFi乐高还会继续创造出更有趣的使用场景。
HUSD是由Stable Universal 发行的合规稳定币,与美元1:1锚定,已经在数字资产交易、支付、DeFi等应用中落地。[2020/7/30]
第二次通过mintMultiple多种稳定币函数铸造OUSD时,攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”,并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中,此时智能合约收到2050万枚DAI,在尝试接收0枚假“稳定币”时,攻击者利用恶意合约进行劫持,在智能合约正常启动铸造2050万枚OUSD之前,调用mint函数,先恶意增发了2050万枚OUSD,此次恶意增发由VaultCore合约调用rebase函数实施。
声音 | Hello EOS梓岑:将逐步淡出Pizza-USDE项目 不再参与项目决策:Hello EOS梓岑发微博表示,经过郑重考虑,我决定逐步淡出Pizza-USDE项目,不再参与项目决策,不再负责具体工作。Pizza在中文区的运营工作将交由starteos团队负责,我个人仅作为投资人及顾问身份提供必要的支持。截止目前,项目冷启动已经完成。Pizza上架了EOS生态几乎所有主流钱包,USDE承兑、理财业务开始步入正轨,代币上线了数家交易所提供必要的流动性支持,2.0版本也在紧锣密鼓的开发中。 但是,项目进展顺利推进的同时,我不得不面临一个尴尬的局面,我能够持续为Pizza项目做出的贡献正在变得越来越有限。一个分布式自治的稳定币系统,也不应该被打上个人标签。感谢理解。[2019/8/19]
值得注意的是,为顺利实施劫持,攻击者在上述mint函数调用时,真金白银地存入了2,000枚USDT,同时获得第三次铸币2,000枚OUSD。随后,调用oUSD.mint函数第四次铸造2050万枚OUSD。
rebase指代币供应量弹性调整过程,即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制,即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时,攻击者共获得2800.2万枚OUSD,包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase函数,攻击者所获得的OUSD总计上涨至33,269,000枚。
最后,攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC;再在Uniswap中将1045万枚USDT兑换为22,898枚ETH,将390万枚USDC兑换为8,305枚ETH,将190万枚DAI兑换为47,976枚ETH,共计79,179枚ETH,并将其中70,000枚ETH归还到dYdX闪电贷中。
据PeckShield统计,攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI,合计770万美元。
对于次攻击事件,OriginProtocol官方回应称,正在积极采取措施,以期收回资金。
随着DeFi生态的蓬勃发展,其中隐藏的安全问题也逐渐凸显,由于DeFi相关项目与用户资产紧密相连,其安全问题亟待解决。
对此,PeckShield相关负责人表示:“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’,其整体安全性环环相扣,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”
作者:PeckShield;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com
今年马上就要结束了,只剩下半个月了。如果要说今年币圈什么事情比较重要,雷神数了数,应该有这么几件:312暴跌,比特币减半,流动性挖矿出现,波卡主网上线,FIL主网上线、ETH2.0信标链启动.
12月9日消息,美国外卖服务提供商DoorDash最终IPO定价为每股102美元,总共发行3300万股,对应市值387亿美元,预期将于12月9日在纽交所开始交易,代码为DASH.
BTC行情解析:四小时图来看;BOLL通道向上小幅度收口,币价目前处于四小时中轨下方运行,但已贴近中轨。附图指标中;MACD快慢线在零轴上方保持死叉向下发散,红色量柱小幅度缩量.
“打工人,打工魂,打工都是人上人!” 今天,你打工了吗? 近来“打工人”成了一个现象级热词,一句“早安,打工人!”成了最新的问候语,道尽无数卑微社畜的心声.
编辑导语:近日,职业打假人王海称知名主播辛巴所售的燕窝是糖水,引发了网友关注。据王海方表示,辛巴直播中所售燕窝就是糖水;辛巴官方则回应,王海送检的样品还含有燕窝的核心成分唾液酸.
基本介绍: 商品包括实物商品和虚拟商品,在虚拟商品中又包括数字商品和非数字商品。虚拟商品是无实物性质,网上发布时默认无法选择物流运输的商品.