北京時間2022年4月15日11點18分,CertiK審計團隊監測到Rikkei Finance被攻擊,導致約合701萬元人民幣(2,671 BNB)資產遭受損失。
由于缺乏對函數`setOracleData`的訪問控制,攻擊者將預言機修改為惡意合約,并獲取了從合約中提取USDC、BTCB、DAI、USDT、BUSD和BNB的權限。攻擊者隨后將這些代幣全部交易為BNB,并通過tornado.cash將這些BNB轉移一空。
①攻擊者向rBNB合約發送了0.0001個BNB以鑄造4995533044307111個rBNB。
Certihash 與 IBM 合作開發企業區塊鏈安全工具套件:金色財經消息,Certihash宣布了一個基于美國國家標準與技術研究院 (NIST) 網絡安全框架開發“Sentinel Node”的項目,這是一套由五個區塊鏈授權的企業實用程序應用程序中的第一個。Certihash 選擇 IBM Consulting 來協助軟件設計和開發。作為該項目的一部分,IBM Consulting 將使用經過驗證的網絡設計框架,并利用他們在向企業提供去中心化應用程序方面的豐富經驗,致力于最先進的去中心化網絡安全基礎設施。該應用程序的 MVP 版本計劃于 2022 年初秋推出。(finextra)[2022/4/28 2:37:35]
②攻擊者通過公共函數`setOracleData()`將預言機設置為一個惡意的預言機。
Ceramic宣布集成Chainlink VRF,用于構建更多動態NFT的工具集:去中心化網絡存儲協議Ceramic宣布集成Chainlink VRF,用于構建更多動態NFT的工具集。Ceramic是一個主權數據網絡,可讓開發人員在區塊鏈和IPFS上構建豐富的應用程序。Ceramic的免許可數據流網絡直接在去中心化的網絡上存儲信息流和不斷變化的文件,而無需后端。由于所有數據均由跨鏈身份直接管理,因此很容易跨應用程序邊界發現和共享內容。[2021/8/22 22:29:36]
③由于預言機已被替換,預言機輸出的rTokens價格被操縱。
④攻擊者用被操縱的價格借到了346,199USDC。
Balancer上線Polygon網絡:7月1日消息,Balancer上線Polygon,Balancer官方表示將與Polygon合作提升DeFi流動性,降低交易費用。Balancer將會在Polygon網絡進行流動性挖礦。[2021/7/1 0:20:52]
⑤攻擊者將步驟4中獲得的USDC換成BNB,并將BNB發送到攻擊合約中。
⑥攻擊者重復步驟4和5,耗盡BTCB、DAI、USDT和BUSD。
⑦攻擊者使用函數`setOracleData()`再次改變預言機,還原了該預言機的狀態。
Simple Price預言機 :
Bitget被知名安全評級機構CER收錄:據官方消息,Bitget目前已被國際知名安全評級機構CER的收錄上線。據悉,目前CER已開啟交易所安全評比,該評比將從18個緯度進行全面測評,并于12天后結束,目前Bitget排名全球第八。
據介紹,CER作為知名收錄平臺CMC及Coingecko的合作伙伴,其測評結果也將作為CMC及Coingecko的收錄標準。
Bitget始終把保障用戶資產及交易安全放在首位,除了投入大量的安全風控資金,Bitget還是一家SSL安全指標12項全部達到A+的合約交易所。另據透露,Bitget即將上線客戶資產驗證工具,客戶將可以第一時間驗證自己資金的安全性。[2020/8/14]
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
Cointroller: https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code
資產地址: Rtoken 0x157822ac5fa0efe98daa4b0a55450f4a182c10ca
新的(有問題的)預言機:
0xa36f6f78b2170a29359c74cefcb8751e452116f9
原始價格: 416247538680000000000
更新后的價格: 416881147930000000000000000000000
Rikket Finance 是利用Cointroller中的SimplePrice預言機來計算價格的。然而,函數`setOracleData()`沒有權限控制,也就是說它可以被任何用戶調用。攻擊者使用自己的(惡意的)預言機來替換原有的預言機,并將rToken的價格從416247538680000000000提升到4168811479300000000000000。
攻擊者在兩次交易中獲得了2671枚BNB(價值約701萬人民幣)。攻擊者已使用tornado.cash將所有的代幣進行了轉移。
漏洞交易:
● https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44
● https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
相關地址:
● 攻擊者地址:
0x803e0930357ba577dc414b552402f71656c093ab
● 攻擊者合約:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
● 惡意預言機:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●被攻擊預言機地址:
該次事件可通過安全審計發現相關風險。CertiK的技術團隊在此提醒大家,限制函數的訪問權限是不可忽略的一步。
金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00通過威廉姆指數可以看出,歷史上每次該指數從高位回落至下方水平線以下,意味著BTC到達這一輪熊市的大底區域,例如2011年、2014年和2018年熊市.
1900/1/1 0:00:004月2日,幻核更新的發售預告中出現了一款法門寺博物館名為“唐鎏金雙蛾團花紋銀香囊”的數字藏品,該預告一上架便被藏友指出與前一日Hi元宇宙發行的數字藏品重合.
1900/1/1 0:00:00“ 每個人都有不同的能力圈,重要的不是這個圈子有多大,重要的是留在圈子里的人”?——沃倫·巴菲特去中心化是指將控制和決策從集中的實體(個人、組織或團體)轉移到分布式網絡.
1900/1/1 0:00:00什么是NFT?NFT定義為存儲在區塊鏈上的不可互換的數據單位,這是一種數字分類賬本的形式,可以進行銷售和交易。NFT的范圍正不斷拓寬,從美術作品到房地產,每天都有新的進展和項目產生.
1900/1/1 0:00:001.Web3 的不可或缺根據我們的一系列實踐,深深地感到了 Vibe 是比 Token 等金融化手段,以及一切 DAO 協作工具更加重要的東西.
1900/1/1 0:00:00