区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > SAND > 正文

SWAP:慢雾:2021年上半年共发生78起区块链安全事件,总损失金额超17亿美元_WBNB

作者:

时间:

据慢雾区块链被黑事件档案库统计,2021年上半年,整个区块链生态共发生78起较为著名的安全事件,涉及DeFi安全50起、钱包安全2起,公链安全3起,交易所安全6起,其他安全相关17起,其中以太坊上27起,币安智能链(BSC)上22起,Polygon上2起,火币生态链(HECO)、波卡生态、EOS上各1起,总损失金额超17亿美元(按事件发生时币价计算)。经慢雾AML对涉事资金追踪分析发现,约60%的资金被攻击者转入混币平台,约30%的资金被转入交易所。慢雾安全团队在此建议,用户应增强安全意识,提高警惕,选择经过安全审计的可靠项目参与;项目方应不断提升自身的安全系数,通过专业安全审计机构的审计后才上线,避免损失;各交易所应加大反监管力度,进一步打击利用加密资产交易的等违规行为。

慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息,2月14日,BSC链上的Titano Finance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]

慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;

2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;

3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;

5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;

7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;

9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

动态 | 慢雾:巨鲸被盗2.6亿元资产,或因Blockchain.info安全体系存在缺陷:针对加密巨鲸账户(zhoujianfu)被盗价值2.6亿元的BTC和BCH,慢雾安全团队目前得到的推测如下:该大户私钥自己可以控制,他在Reddit上发了BTC签名,已验证是对的,且猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于SIM卡的短信双因素认证,猜测可能是Blockchain.info,因为它吻合这些特征,且历史上慢雾安全团队就收到几起Blockchain.info用户被盗币的威胁情报,Blockchain.info的安全体系做得并不足够好。目前慢雾正在积极跟进更多细节,包括与该大户直接联系以及尽力提供可能需求的帮助。[2020/2/22]

标签:SWAPVSWBNBWBNBRimauSwapValuedefi vSWAPSTKBNB价格WBNB币

SAND热门资讯
比特币:金色观察 | DeFi正在吞噬金融_DEF

软件在吞噬世界,也在吞噬金融。MarcAndreessen在2011年写了一篇文章,该文章描述了软件原生公司是如何蚕食现有公司并革新行业.

POLY:如何使用「稳定币」捕获最佳的 DeFi 收益?这些策略了解一下_AVE

撰文:BenGiove,Bankless撰稿人过去一年我们被宠坏了。加密货币价格、DeFi活动和流动性挖矿的激增为渴望获取收益的DeFi用户带来了大量的3位数、4位数甚至5位数的APR/APY收.

AAVE:金色硬核 | 从DeFi到游戏:最热门的几个去中心化应用程序_Aave SUSD

金色财经推出金色硬核栏目,为读者提供热门项目介绍或者深度解读。在目前的加密行业中,不可能避开去中心化应用程序或dapps.

VSW:泰国银行:数字资产不是法定货币 不支持使用数字资产作为商品和服务的支付手段_Minimal Initial SushiSwap Offering

泰国银行(BoT)周四发布公告表示,数字资产不是法定货币。在使用数字资产作为支付手段时,付款人和收款人都可能面临价格波动、网络盗窃和等风险。一些数字资产是投资工具,投资者必须了解持有的风险.

POL:深度拆解a16z:不想当经纪人的媒体不是好风投_POLY

6月24日,随着安德森·霍洛维茨宣布推出规模超过22亿美元的第三支加密资产投资基金CryptoFundIII,以硅谷坏小子著称的a16z再一次吸引了人们的眼球.

APP:Dappradar报告:过山车二季度 Polygon超越以太坊_DEF

第二季度绝对是过山车,但总体而言,区块链的积极趋势仍在继续。尽管加密市场暴跌,但用户参与该行业的热情依旧未减,尤其是DeFi和NFT。多链范式等新趋势似乎对整个网络产生了积极影响.