比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 狗狗幣 > Info

慢霧:DFX Finance 遭攻擊,因 Curve 合約閃電貸函數未做重入保護_NSI

Author:

Time:1900/1/1 0:00:00

據慢霧安全團隊情報,ETH鏈上的DFXFinance項目遭到攻擊,攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下:

1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況,之后根據返回的存款情況來構造合適的閃電貸需要借出的錢

慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]

2.緊接著繼續Curve合約的flash函數進行閃電貸,因為該函數未做重入鎖保護,導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款

慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數,在該函數中會將第二步中借來的資金轉移回Curve合約里,并且為攻擊合約進行存款的記賬,并且為攻擊合約鑄造存款憑證

慢霧:Transit Swap黑客攻擊交易被搶跑,套利機器人獲利超100萬美元:10月1日消息,據慢霧安全團隊情報,Transit Swap 黑客轉移用戶 BSC 鏈 BUSD 資產時被套利機器人搶跑,區塊高度為21816885,獲利107萬BUSD。套利機器人相關地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已將 70% 左右的被盜資產退還到Transit Swap開發者地址,建議套利機器人所屬人同樣通過service@transit.finance或鏈上地址與Transit Swap取得聯系,共同將此次被盜事件的受害用戶損失降低到最小。[2022/10/2 18:37:44]

4.由于利用重入了存款函數來將資金轉移回Curve合約中,使得成功通過了閃電貸還款的余額檢查

5.最后調用withdraw函數進行取款,取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證,并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護,導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷,由于存款時有記賬所以攻擊者可以成功提款獲利。

Tags:TRATRANSNSIANSTRAC幣TranslatixMedia Licensing Tokenfanstoken

狗狗幣
力爭上游:空投捕手努力指南_TOP

作者:Tiga、Evelyn,W3.Hitchhiker 空投的邏輯 發幣之前,空投是項目方吸引用戶的籌碼。發幣時,是項目方“免費”打造的一場營銷.

1900/1/1 0:00:00
FTX Ventures 破產文件:內部組織混亂,財務數據缺失且真實性存疑_ENT

根據周四向美國特拉華州破產法院提交的文件,FTXVentures的內部組織混亂、復雜,部分財務數據缺失且真實性存疑.

1900/1/1 0:00:00
專訪 a16z 合伙人 Chris Dixon:詳談熊市、監管與真正的 Web3 用例_ISD

采訪者:TechCrunch受訪者:ChrisDixon,a16z合伙人整理:郭倩雯,ChainCatcher主持人:加密貨幣經歷了有趣的一年,充滿動蕩。對投資者也許來說是一個好時機.

1900/1/1 0:00:00
福布斯:16 種加密平臺幣總市值超 620 億美元,實際價值存疑_福布斯

福布斯發表評論文章稱,全球超過16家加密貨幣和DeFi交易所創建的平臺幣總市值超過620億美元.

1900/1/1 0:00:00
探索 FuelVM:為執行智能合約而專門構建的定制虛擬機_區塊鏈

原文標題:《ExploringtheFuelVM》作者:RyanSproule 編譯:老雅痞 介紹Sway和FuelVMFuelLabs正在構建一個新的執行層,用于擴展下一代區塊鏈應用程序.

1900/1/1 0:00:00
Honeypot 攻擊在過去一周內增長 6 倍,瞄準初到去中心化世界的新新人類_PLU

作者:GoPlusSecurity受FTX事件影響,近期大量用戶將數字資產從中心化交易所向去中心化錢包轉移,導致鏈上活躍用戶激增,DEX用戶數及交易量均達到六個月內高點.

1900/1/1 0:00:00
ads