前?
11月21日,知道創宇區塊鏈安全實驗室?監測到以太坊上的DeFi協議?Formation.Fi?遭遇黑客攻擊,損失近10萬美元。實驗室第一時間跟蹤本次事件并分析。
攻擊流程及形成漏洞成因分析
簡述攻擊流程
首先黑客通過合約0xd02C進行閃電貸借出啟動資金200USDT
向合約Vault質押100USDT獲得99FormationUSD?
Trezor和Wasabi達成合作將CoinJoin引入硬件錢包:金色財經報道,加密錢包Trezor與隱私項目Wasabi達成合作,將CoinJoin引入其硬件錢包上的比特幣交易中,從明年開始,用戶將能夠在他們的 Trezor 設備上使用 CoinJoin,以獲得更大的交易隱私。Wasabi Wallet是一款流行的比特幣錢包,由軟件公司zkSNACKs使用 CoinJoin技術開發,本次合作目標是讓Trezor Suite用戶能夠直接從他們的硬件錢包中發送隱私Token。(decrypt)[2022/9/6 13:10:37]
通過Vault合約swapin函數置換100USDT并附帶大量fee
馮德倫買入新BAYC:8月23日消息,演員馮德倫發推特表示,買入新BAYC。[2022/8/23 12:42:12]
調用Vault合約函數withdraw銷毀99FormationUSD獲得漏洞利潤99999USDT
最后歸還閃電貸將獲利轉到黑客地址
漏洞成因分析
檢查源碼后發現具體問題主要出在Vault合約函數?swapIn?上,可以看到該函數調用參數?fee?能影響記錄著全部代幣的變量?totalTokens?的計算,fee越大totalTokens越大。
印度市場監管機構因未正確披露Facebook交易而對Reliance處以罰款:金色財經報道,印度市場監管機構周一對Reliance及其兩名官員處以罰款,原因是他們沒有正確披露Facebook在2020年4月對Jio Platforms的 57 億美元投資。
印度證券交易委員會表示,媒體已在 3 月份報道了當時即將達成的交易,這促使該集團公司的股價上漲。(一些棒球內部人士:金融時報在 3 月份爆料稱,當時稱為 Facebook 的 Meta 正處于談判的后期階段,以對 Reliance Industries 的數字部門 Jio Platforms 進行數十億美元的投資。該消息很快被多家媒體放大。)
市場監管機構認為,當 Reliance 獲悉信息即將發布時,它“有責任”通過證券交易所或其他方式“自行作出適當澄清”。[2022/6/21 4:41:35]
而在通過函數withdraw實際獲取利潤時,可以看到實際轉賬時totalTokens參與了計算,所以當大量的fee被帶人totalTokens計算后,會造成withdraw函數的轉賬超過原本的轉賬金額。
而造成攻擊獲利巨大的另個原因是FormationUSD與USDT的小數點數位不同,FormationUSD為18位,USDT為6位。小數點精準數位的差距在實際轉賬中進一步放大了黑客的收益。
Vault:
TetherToken:
重新梳理攻擊過程
第一步:選用USDT作為攻擊使用的代幣,目的USDT與FormationUSD的小數點精確度不同
第二步:黑客質押100USDT,目的為了后續調用withdraw函數實現套利
第三步:黑客兌換100USDT,目的添加大量的fee提升totalTokens的值
第四步:黑客取回質押的USDT,目的使用提升后totalTokens與利用代幣間小數點精確度不同來套取利潤
第五步:歸還閃電貸,轉移套取的利潤
總結
本次閃電貸安全事件發生的主要原因在于項目方設計函數?swapIn?時低估了fee對totalTokens的影響,且忽視了不同代幣間小數點精確度的影響。
知道創宇區塊鏈安全實驗室?再次提醒近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
來源:金色財經
歷史上每一個重要的計算資源,需求都超過了供應,這包括CPU、GPU、內存、存儲以及有線和無線帶寬。計算運動的核心動力是應用程序和基礎設施之間相互加強的反饋循環.
1900/1/1 0:00:00每天都有人發信息問我比特幣的情況,我一般說完之后都會問一句,你有多少比特幣,答案基本上都是沒有.
1900/1/1 0:00:00如果說加密資產是引擎的話,那么穩定幣就像它的活塞。在過去的七年里,穩定幣已經發展成為整個加密生態系統的主要支柱。它更像一種用于引入新資金、管理和增加流動性、為加密資產定價的工具.
1900/1/1 0:00:00作者:Alex@IOSGVentures“即使區塊鏈沒有被發明,我依然認為游戲市場在未來十年將會有突破式的增長.
1900/1/1 0:00:00無論嘉楠還是比特大陸,都無法遏制自己對“挖礦”的強烈渴望。歷經過去數年洗禮而后“功成名就”,嘉楠科技可謂是一路嘗遍“甜頭”,成功擠進AI芯片頭部行列,并一舉上市成就“區塊鏈第一股”的名頭.
1900/1/1 0:00:00BitTorrentChain是一個區塊鏈應用平臺,歡迎大家通過為BTTC設置節點來成為驗證人.
1900/1/1 0:00:00