比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SHIB > Info

慢霧:簡析Punk Protocol 被黑過程_STAK

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,損失約400萬美元,慢霧安全團隊以簡訊形式將攻擊原理分享如下:

?1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。

慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

?2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。

慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

?3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]

?4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。

總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。

Tags:STASTAKORGFORSTAKExSTAKE.FinanceCORGICEOCtomorrow Platform

SHIB
Blackswan團隊:一名詐騙者偽裝為Andre Cronje,騙走價值3萬美元的代幣_ACK

鏈捕手消息,DeFi項目Blackswan團隊近日在博客透露,該項目遭遇一起欺詐事件,欺詐者偽裝成YFI創始人AndreCronje并表示計劃與該項目合作.

1900/1/1 0:00:00
財新:國內虛擬貨幣面臨嚴厲整頓,政府正全面治理亂象_AEX

鏈捕手消息,財新發表最新社論稱,國內虛擬貨幣亂象面臨空前嚴厲的整頓,特別是因為近日央行有關部門就為虛擬貨幣交易炒作提供服務問題,約談部分銀行和支付機構,這意味著不止是ICO.

1900/1/1 0:00:00
比特幣挖礦委員會:比特幣挖礦可持續電力在第二季度增至56%_LIBRA

鏈捕手消息,特幣挖礦委員會(BMC)今日公布了其首次季度調查的結果。在2021年第二季度,比特比挖礦可持續的挖礦電力增長至56%.

1900/1/1 0:00:00
一文洞悉 NFT 的行業格局和未來發展機遇_以太坊

本文來源于?SymbolCapital。NFT的演進:物物交換是最原始的NFT表現形式,但是由于缺乏一種合理的價值發現方式,以至于其被同質化的貨幣代替,隨著區塊鏈技術的出現,這種曾經價值難以捕捉.

1900/1/1 0:00:00
德國和西班牙宣布聯合開發去中心化數字身份生態系統,計劃向其它歐盟國家開放_ION

作者:胡韜 近日,西班牙政府數字化和人工智能國務秘書CarmeArtigas與德國數字化國務部長DorotheeB?r代表簽署了一項聯合聲明.

1900/1/1 0:00:00
Uniswap創始人:去中心化并不意味著用戶可以在其網絡上為所欲為_Uniswap

鏈捕手消息,Uniswap創始人HaydenAdams表示,UniswapProtocol是以太坊上完全去中心化的免許可智能合約;UniswapInterface開源GPL代碼庫;app.uni.

1900/1/1 0:00:00
ads