比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Uniswap > Info

SafeDollar攻擊事件分析_SAFE

Author:

Time:1900/1/1 0:00:00

一、事件概覽北京時間6月28日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,Polygon生態算法穩定幣項目SafeDollar遭到黑客攻擊。攻擊事件發生后,SafeDollar項目所發行的穩定幣價格從1.07美元,瞬間跌至歸零。有消息指出,一份未經證實的合約抽走了25萬美元的USDC和USDT;后經Rugdoc.io分析證實,此次攻擊事件中黑客總共獲利價值25萬美元的USDC和USDT。隨后,SafeDollar項目方發布公告,要求投資者停止所有與SDO相關的交易。目前,SDO交易已暫時中止。鑒于此次攻擊事件所具備的標志意義,成都鏈安·安全團隊第一時間介入分析。繼5月初BSC諸多鏈上項目頻頻被黑之后,6月末Polygon生態也開始被黑客盯上,“潘多拉魔盒”是否已經悄然開啟?借此事件,成都鏈安通過梳理攻擊流程和攻擊手法,提醒Polygon生態項目加強安全預警和防范工作。

Waves創始人發布Waves 2.0規劃,包括DAO治理的穩定幣、SafeFi模型等:12月27日消息,Waves創始人Sasha Ivanov在推特上發布2023年Waves2.0的敘事規劃,包括利用概率共識POS機制在L1上實現TPS突破1000并保持完全去中心化、將多鏈EVML2作為不同L1之間的橋梁、推出基于KPI治理的PowerDAO平臺、基于可預測行為和風險/回報率的DeFi模型SafeFi,以及推出基于自適應DAO治理的穩定幣。

金色財經此前報道,Sasha Ivanov表示將推出新穩定幣,在此之前將啟動USDN脫錨解決方案。[2022/12/27 22:10:01]

ChainSafe 完成 1875 萬美元 A 輪融資,Round13 領投:10月18日消息,Web3 基礎設施公司 ChainSafe 完成 1875 萬美元 A 輪融資,Round13 領投,參投方包括 NGC Ventures、HashKey、Sfermion、Jsquare、ConsenSys、Digital Finance Group 和 Fenbushi Capital 等。

ChainSafe 是一家加拿大公司,目前專注于多鏈研發和區塊鏈游戲。ChainSafe 表示,這筆資金將用于支持 Web3 技術的發展和采用。(Cointelegraph )[2022/10/18 17:31:00]

二、事件分析此次攻擊事件中,攻擊者利用PLX代幣轉賬時實際到賬數量小于發送數量以及SdoRewardPool合約抵押和計算獎勵上存在的邏輯缺陷,借助“閃電貸”控制SdoRewardPool合約中抵押池的抵押代幣數量,進而操縱獎勵計算,從而獲得巨額的SDO獎勵代幣,最后使用SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。攻擊者地址:0xFeDC2487Ed4BB740A268c565daCdD39C17Be7eBd攻擊合約:0xC44e71deBf89D414a262edadc44797eBA093c6B00x358483BAB9A813e3aB840ed8e0a167E20f54E9FB攻擊交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x4dda5f3338457dfb6648e8b959e70ca1513e434299eebfebeb9dc862db3722f30x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14以下分析基于以下兩筆交易:0xd78ff27f33576ff7ece3a58943f3e74caaa9321bcc3238e4cf014eca2e89ce3f0x1360315a16aec1c7403d369bd139f0fd55a99578d117cb5637b234a0a0ee5c14攻擊者首先使用PolyDex的WMATIC和WETH池進行PLX借貸,如下圖所示:

everPay與Safeheron達成戰略合作關系:據官方消息,基于Arweave的實時金融協議everPay與密碼學和區塊鏈安全公司Safeheron達成戰略合作關系。這項合作將進一步提高everPay網絡的去中心化水平和資產安全水平。

目前,everPay網絡中負責管理用戶鎖定資產的關鍵角色是守望者(Watchmen),使用的是中心化服務器的ExecuteHub來生成門限簽名密鑰。此外,Arweave錢包目前的門限簽名算法庫也非常有限,對Arweave資產的多簽管理非常不便。該團隊目前已將算法完全開源給社區使用。此外,Safeheron還將推出基于TEE的RSA密鑰分片服務,這將為everPay和整個Arweave生態系統提供堅實的安全基礎設施。[2022/6/28 1:37:14]

SAFE創始人因分歧考慮遷移或創建新幣,SAFE 24小時跌幅近74%:Continue Capital聯合創始人在微博表示,SAFE創始人爆料,有可能遷移token甚至重新創建一個新幣,也能體會到要做到公平分發是一件多么困難的事。

操作手法基本是:因為SAFE的1池、2池都是單幣池,需要投保才能生成,有人(Azeem Ahmed)在公布4池(SAFE/Dai池,本質就是SAFE的價格池)之前利用消息就大量投保買了很多yNFT covers,這樣就占據1池、2池大量份額,并且在價格池4池上線后,別人都很難進入1/2池子,在各種引發Fomo吸引鎖倉推高價格之后,直接砸到4池獲利。

據悉,SAFE(Yieldfarming.Insure)是一個通過購買保險來挖礦的DeFi產品。CoinGecko行情顯示,SAFE現報546.35美元,24小時跌幅73.9%。[2020/9/16]

接下來,攻擊者通過攻擊合約反復進行抵押提取,主要是為了減少SdoRewardPool合約中SDO抵押池中的抵押代幣數量。

動態 | 比特幣創業公司Lolli與Safeway達成合作:據ethereumworldnews報道,比特幣獎勵購物應用程序Lolli與北美知名連鎖店Albertsons以及Safeway達成合作,合作細節尚未完全公布。Safeway擁有900家商店; Albertsons有大約2300家商店。[2019/7/26]

PLX代幣合約進行代幣轉移時,如果from地址不在_isExcludedFromFee列表中,并且to地址也不在_isExcludedToFee列表中,會對轉移的代幣收取一次獎勵基金以及銷毀本次轉移代幣數量的0.05%。

而在SdoRewardPool合約中,記錄的數量為調用者所轉移的數量,沒有減去轉移過程中損耗的部分,在進行提取操作時,提取的數量為記錄的數量,超出了用戶實際抵押到本合約的數量,故會造成該抵押池中抵押代幣的異常減少。

攻擊者事先通過攻擊合約在該抵押池中抵押214.235502909238707603PLX,在攻擊合約攻擊完成后,控制攻擊合約在該抵押池中進行獎勵領取,由于SdoRewardPool合約中更新抵押池信息時使用的是balanceOf函數獲取本合約中抵押代幣數量,故獲取到的數量是惡意減少之后的數量,繼而造成PLX抵押池中accSdoPerShare變量異常增大,從而獲取到巨額的SDO代幣獎勵。最后利用獲取到的SDO代幣將SDO-USDC和SDO-USDT兩種兌換池中USDC和USDT全部兌換出來。

三、事件復盤事實上,此次攻擊事件并不復雜,但是值得引起注意。首先添加抵押池時添加了非標準代幣,再加上計算獎勵時使用了balanceOf函數進行抵押代幣數量的獲取,所以導致了此次攻擊事件的發生。從安全審計的角度看,項目方作為添加抵押池的管理員,對于將要添加的抵押池中的抵押貸幣,一定要三思而后行。通脹通縮類以及轉移數量與實際到賬數量不同的代幣,不建議作為抵押池的抵押代幣;如果因業務需要一定要添加這些類型的代幣作為獎勵代幣,務必與其他標準代幣分開處理。同時在抵押池中建議使用一個單獨的變量作為抵押數量的記錄,然后計算獎勵時,使用通過此變量來獲取抵押代幣數量,而不是使用balanceOf函數。另外,此次攻擊事件對于Polygon生態鏈上項目而言,是否會是一個“危險信號”,Polygon生態的“潘多拉魔盒”是否會就此打開,這還需要觀望后續態勢發展。不過,回望5月,BSC生態發生第一起閃電貸攻擊之后,便就此拉開了“BSC黑色五月”序幕。鑒于前車之鑒,成都鏈安在此提醒,Polygon生態鏈上項目未雨綢繆,切實提高安全意識。

Tags:SAFESDOUSDAVESafeMars ProtocolMARSDOGEbusd幣值得投資么Llamaverse

Uniswap
是誰在拋售比特幣?_BTC

盡管關于市場走熊的聲音很大,但比特幣仍守住了自5月中旬拋售以來的震蕩箱體下軌,這也是多頭最后的防線,只有突破箱體上軌42000美元才能夠再次打開上漲空間.

1900/1/1 0:00:00
正交持久性是什么?| 不一樣的「DFINITY」詞貼_CEL

DFINITY互聯網計算機在系統設計上具備正交持久性,旨在讓開發者可以更便捷、高效地進行業務邏輯的開發.

1900/1/1 0:00:00
11張圖讀懂NFT市場在2021上半年發生了哪些變化_CRY

文|梁雨山正如DeFi的爆發令人始料未及,NFT于年初以來的發展勢頭同樣出乎多數人的意料。今年1月開始,數字收藏卡NBATopShot銷售額陡增,于2月當月突破2億美元,促進加密貨幣市場將目光轉.

1900/1/1 0:00:00
從天堂到地獄,Swarm是「區塊鏈最大謊言」?_WAR

Swarm是突然火起來的,但隨著Coinlist公募結束和主網上線,熱度又突然跌了下去。近期,各種社群都有人在揶揄:你買了ICP,我買了BZZ,我們都是“天王”級項目.

1900/1/1 0:00:00
交易所170億穩定幣存量破記錄,DeFi無風險挖礦已不如支付寶?_USDT

6月28日,F2Pool聯合創始人、中文社區DeFi挖礦的絕對主力神魚在社交媒體發文稱,最近市場上充斥著大量的穩定幣,使得DeFi收益率跌的很慘.

1900/1/1 0:00:00
巨鯨大量借幣砸盤,「大空頭」下可有贏家?_BTC

作者:凱爾;編輯:文刀7月8日,加密資產市場再度下跌。在沒有實質性利空爆出的情況下,更多人將目光聚焦在借幣做空的神秘巨鯨上.

1900/1/1 0:00:00
ads