比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 酷幣 > Info

sDAO合約業務邏輯存在漏洞,攻擊者獲利超1.3萬BUSD_SDAO

Author:

Time:1900/1/1 0:00:00

根據區塊鏈安全公司Beosin旗下EagleEye監測顯示,BNBChain上的sDAO項目遭受漏洞攻擊。Beosin分析發現sDAO合約的業務邏輯存在錯誤,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲利約13662枚BUSD。

FriesDAO因Profanity漏洞遭到攻擊,損失約230萬美元:金色財經報道,據CertiK監測,FriesDAO于今日遭到攻擊,損失約230萬美元,起因是攻擊者獲得了該協議操作者錢包的控制權——似乎是由于Profanity錢包生成器的漏洞導致的,這一漏洞會令通過該工具生成地址的私鑰被強制使用。

1.在獲得對操作者錢包的訪問權后,攻擊者從DAO的資金錢包中提取了$FRIES,并將其于Uniswap上以wETH的價格出售。

2.攻擊者使用只能由操作員地址調用的函數governanceRecoverUnsupported()從抵押池中提取資金。

3.攻擊者最終將所有資金轉換為DAI。

截至撰寫本文時,存儲被盜資金的錢包價值約為232.5萬美元。

FriesDAO在官方Discord頻道中確認了這次攻擊,指出錢包地址確實是用Profanity生成的。

目前官方開發人員試圖與攻擊者進行談判,協商用白帽賞金來換取被盜資金的歸還。

這次攻擊本可以被預防,因為Profanity漏洞作為做市商Wintermute被盜超過1.6億美元攻擊事件的罪魁禍首,已經被公開了一個多月了。

CertiK呼吁所有使用過Profanity工具的Web3.0項目立即將受影響錢包中所有資產的控制權轉移到安全生成的地址。[2022/10/28 11:52:27]

派盾:OlympusDAO因代碼漏洞導致約29.2萬美元損失:10月21日消息,據派盾監測,OlympusDAO的BondFixedExpiryTeller合約中的redeem()函數因無法正確驗證輸入導致了約29.2萬美元的損失。[2022/10/21 16:34:35]

bi網公告B-I.TOP已完成eosDAC快照:B-I.TOP已于2018年4月15日09:00:00為平臺所有EOS持有用戶(小于100EOS持有用戶也計算在內)完成快照,待eosDAC官方發放代幣(區塊鏈上面收到eosDAC代幣)后,1:1發放給快照時持有EOS的用戶,eosDAC官方具體發放時間未知(預計四月底五月初),請耐心等待。eosDAC是否開放交易將在代幣分發完成后經過評估決定是否開通。[2018/4/15]

Tags:SDAEOSDAOSDAORATSDAO價格EOS RoyaleSDAO價格

酷幣
Facebook系公鏈Aptos正式啟動主網Aptos Autumn_APT

據官方公告,公鏈項目Aptos宣布正式啟動主網AptosAutumn。Aptos區塊鏈的技術創新包括交易處理的流水線和模塊化方法、新的智能合約并行執行引擎Block-STM、AptosBFT共識.

1900/1/1 0:00:00
Curve Finance發布穩定幣crvUSD的官方代碼和白皮書_CUR

據TheBlock報道,去中心化交易所CurveFinance開發團隊已經發布了即將推出的去中心化穩定幣crvUSD的代碼和官方文件.

1900/1/1 0:00:00
FTX與幣安達成協議,獲得幣安戰略投資_AVE

FTX創始人SBF發推稱,事情又回到了原點,FTX的第一個也是最后一個投資者是一樣的:我們已經與幣安就FTX的戰略投資達成協議.

1900/1/1 0:00:00
慢霧:Numbers Protocol (NUM)代幣項目遭攻擊,請用戶迅速取消對跨鏈橋的授權_OST

據慢霧安全團隊情報,ETH鏈上的NumbersProtocol代幣項目遭到攻擊,攻擊者獲利約13,836美元.

1900/1/1 0:00:00
美聯儲威廉姆斯和布拉德:降息或需等到2024年_加密貨幣

據第一財經報道,周一,紐約聯儲主席威廉姆斯和圣路易斯聯儲主席布拉德均表示,降息或需要等到2024年之后才會出現.

1900/1/1 0:00:00
路透社:盡管受到制裁,幣安仍幫助伊朗公司交易了80億美元_NCE

據路透社報道,區塊鏈數據顯示,盡管美國制裁旨在切斷伊朗與全球金融體系的聯系,但自2018年以來,加密交易所幣安已經處理了價值80億美元的伊朗交易.

1900/1/1 0:00:00
ads