比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Coinw > Info

慢霧:Zabu Finance 閃電貸攻擊簡析_SPO

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,Avalanche上ZabuFinance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家。

?1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。

?2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

慢霧:6月24日至28日Web3生態因安全問題損失近1.5億美元:7月3日消息,慢霧發推稱,自6月24日至6月28日,Web3生態因安全問題遭遇攻擊損失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

?3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]

?4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。

聲音 | 慢霧:ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息,ETC 51%攻擊后續:繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后,另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現:攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作,至此,持續近一周的 ETC 51% 陰云已散。[2019/1/16]

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。

參考:攻擊合約1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400攻擊合約2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb攻擊交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3獲利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

Tags:ABUSPOPORSPOREADABULLPolysportspor幣是什么幣SPORE價格

Coinw
美SEC主席:希望將加密貨幣“納入公共政策框架”_SEC

鏈捕手消息,美國證券交易委員會(SEC)主席GaryGensler周二表示,他希望將加密貨幣“納入公共政策框架”,希望確保加密貨幣處于監管范圍內并滿足政策目標.

1900/1/1 0:00:00
Synthetix 生態二元期權 Thales 介紹及本次公募參與教程_USD

作者:LonersLiu一、Thales名字的由來以及簡單介紹Thales的名字來自于米利都的市民泰勒斯,是出身于公元前640年的古希臘思想家,根據亞里士多德的記載.

1900/1/1 0:00:00
花花公子集團將于10月24日推出代表其會員身份的NFT Rabbitar_Polygon

鏈捕手消息,《花花公子》雜志所有者PLBY集團公布了一個新的NFT項目,由11953個獨特的3D動畫兔子頭像組成.

1900/1/1 0:00:00
波卡生態項目 UniArts 的 NFT 瀏覽器獲得 Web3 Grant_ISC

鏈捕手消息,波卡生態項目UniArtsNetwork的NFT瀏覽器UniScan被Web3foundation授予grant,并且提交的代碼已經通過了Milestone1審核.

1900/1/1 0:00:00
Continue Capital匹馬:聊聊新公鏈的紛爭,新王有可能要登基?_區塊鏈

作者:匹馬,ContinueCapital創始人也許一切都應該從Coinbase二季報說起。如果留意Coinbase上項目成交量,就會從5月份發現一個微妙的變化:ETH日成交量跟BTC幾乎持平甚.

1900/1/1 0:00:00
富達:84%美國和歐洲機構投資者有興趣購買數字資產投資產品_LOC

作者:ChenZou 來源:Bitpush.News根據富達數字資產公司2021年機構投資者數字資產研究的新見解,大多數美國和歐洲機構投資者(84%)有興趣購買持有數字資產的機構投資產品.

1900/1/1 0:00:00
ads