BTC/HKD-0.48%
ETH/HKD-1.09%
LTC/HKD+1.42%
DOT/HKD-1.83%
ADA/HKD+5.65%
SOL/HKD-1.01%
XRP/HKD+15.4%
DOGE/US-5.01%前言
9月12日,知道創宇區塊鏈安全實驗室監測到Avalanche上的DeFi協議ZabuFinance項目遭受閃電貸攻擊。實驗室第一時間跟蹤本次事件并分析。
涉及對象
攻擊合約
攻擊合約1:
0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻擊合約2:
聲音 | Elizabeth White:未來經濟將以100%的數字資產為基礎:據cryptoglobe報道,The White Company首席執行官Elizabeth White表示,未來經濟將以100%的數字資產為基礎。每一項資產,如貨幣、投資、房地產或任何資產的所有權,都將標記在區塊鏈上。它更高效,更安全。[2019/2/24]
0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
漏洞合約
ZABUFarm:
0xf61b4f980a1f34b55bbf3b2ef28213efcc6248c4
聲音 | Nick Szabo:為了賺錢將加密貨幣存在交易所在價值主張上是有問題的:智能合約創始人尼克·薩博(Nick Szabo)剛剛發推稱:將加密貨幣交由交易所保管的投資者,就像不喝咖啡卻投資星巴克的人。他們可能會通過技巧賺大錢,但是他們對用例和價值主張的實際理解是有問題的。[2019/2/21]
SPORE:
0x6e7f5c0b9f4432716bdd0a77a3601291b9d9e985
漏洞成因分析
漏洞產生原因在于Defi協議與代幣協議之間的不兼容,其不兼容主要是zabuFarm合約質押功能與spore合約轉賬功能出現沖突,下面從雙方功能實現邏輯來分析沖突。
動態 | 加密評論家Elizabeth Warren將在2020年競選美國總統:據Cryptocurrency News今日消息,加密評論家、馬薩諸塞州的美國參議員Elizabeth Warren于12月31日發布視頻公告,正式宣布她將在2020年競選美國總統。[2019/1/1]
zabuFarm合約質押功能
zabuFarm合約質押功能由函數deposit實現
Nick Szabo:比特幣波動性大源自其未來的不確定性:智能合約先驅Nick Szabo今日在其社交媒體表示,比特幣的波動性大是因為其未來的不確定性(方面和競爭方面),而不是限定的數量。當這些不確定性減少,比特幣的波動性就會相應的下降,直到法幣表現出更多的不確定性。[2018/6/22]
簡述deposit函數實現邏輯:
1.由傳參_pid獲取對應礦池信息與用戶信息
2.更新_pid對應礦池信息,當用戶賬戶不為0向用戶發送質押已產生獎勵
3.將傳參_amount數量的代幣從函數調用者轉移到該合約
4.更新用戶添加的代幣以及最新獎勵狀態5.觸發質押事件。
spore合約轉賬功能
spore合約轉賬功能由函數_transferStandard實現(ps:_transferStandard函數是zabuFarm合約質押功能轉賬時調用的函數)
簡述_transferStandard函數實現邏輯:
1.由傳參tAmount通過_getValues函數獲取五個值,分別是rAmount實際轉賬數量,rTransferAmount收費后轉賬數量,rFee實際費用,tTransferAmount初始轉賬數量,tFee初始費用
2.對相應賬戶進行實際轉賬代幣數量更新
3.通過_reflectFee函數進行費用記錄更新
由此我們可以發現\nzabuFarm合約質押功能與spore合約轉賬功能出現沖突的本質在于deposit函數僅是對用戶傳入轉賬金額_amount\n做用戶賬戶更新記錄,而不是對_transferStandard\n函數在收取費用后實際轉賬做用戶賬戶更新記錄,導致實際收款小于賬戶記錄,俗稱虧本買賣。
簡述攻擊過程
1.利用攻擊合約10x0e65,將WAVAX代幣通過Pangolin置換成SPORE代幣,并質押到ZABUFarm合約中;
2.通過攻擊合約2\n0x5c9A從Pangolin閃電貸借出SPORE代幣,并利用SPORE代幣不斷在ZABUFarm\n合約進行質押-提現的操作,消耗原本屬于ZABUFarm合約的SPORE代幣,由于ZABUFarm合約是通過SPORE\n代幣總量計算獎勵,攻擊合約10x0e65會獲得巨額ZABU代幣獎勵;
3.最后取出質押SPORE代幣,歸還閃電貸,拋售ZABU代幣獲利。
總結
此次攻擊屬于defi協議與代幣協議之間不兼容導致的,迄今為止此類攻擊事件已發生數次,知道創宇區塊鏈安全實驗室再次提醒,近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
前言: 本文討論了韓國大型交易所也難以達標的《特金法》,以及國外交易所的"切斷韓國"行為會給韓國國內虛擬資產市場帶來怎樣的影響.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00與許多其他領域一樣,元宇宙的這個虛擬空間激發了金融創新者的渴望,他們希望了解金融科技和新的金融科技解決方案如何在這個全新的世界中提供金融服務.
1900/1/1 0:00:00播報數據由Greeks.liveDataLab格致數據實驗室和Deribit官網提供。市場交割平穩,主流幣價格重心在向下移動,各項數據都表明市場向下壓力比較大.
1900/1/1 0:00:00DAOrayakiDAO研究獎金池:長期以來,賬戶抽象一直是以太坊開發者社區的夢想。EVM代碼不僅用于實現應用程序的邏輯,還用于實現個人用戶錢包的邏輯驗證.
1900/1/1 0:00:00在相關投資領域內針對性更強的區塊鏈投資還是非常受歡迎的,因為其所能夠帶來的投資收益和投資樂趣都讓很多的投資者愿意一試,能夠真正在滿足投資研究和回報需求的實現上更具其特有的新興發展特點.
1900/1/1 0:00:00
比特幣交易所
