比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 火星幣 > Info

Team Finance被黑分析:黑客自建Token“瞞天過海”,成功套取1450萬美元_RAT

Author:

Time:1900/1/1 0:00:00

10月27日,成立于2020年的TeamFinance在官方Twitter發聲,該協議管理資金在由Uniswapv2遷移至v3的過程中遭到黑客攻擊,損失達1450萬美元。

在事件發生后的第一時間,歐科云鏈鏈上衛士團隊憑借超200TB的鏈上數據量儲備,快速對黑客地址進行數據追蹤、手法解析,并及時通過官方渠道反饋TeamFinance分析結果,避免鏈上損失態勢進一步擴大。

據鏈上衛士安全團隊分析,此次受到攻擊的項目方UniswapV2池子有CAW、TSUKA、KNDX、FEG。

Otherside:Team Glacia玩家錢包將在一周內收到Winged頭盔空投:金色財經報道,據Yuga Labs元宇宙游戲Otherside官方社交媒體@Othersidemeta透露,Team Glacia團隊在2nd Trip中為他們的蟾蜍獲得了最多斑點(blob),因此其玩家錢包將會一周內收到Winged頭盔空投,空投分配將會是隨機的,地址包含獲勝玩家的其他合約(如果存在),如果沒有檢測到其他持有的合約,那么空投將到達連接和參與的錢包,空投完成后Otherside將會發布藏品鏈接。Team Glacia團隊成為由演員、主持人和游戲玩家組成,互聯網資深人士Jimmy Wong擔任隊長,此外Otherside還透露,2nd Trip會在隨后激勵中增加額外的游戲化元素,旨在豐富Voyager和訪客的體驗。[2023/3/26 13:27:01]

依托于區塊鏈鏈上數據可溯源、不可篡改的特性,鏈上衛士團隊將鏈上追蹤結果以圖表的方式展現,通過黑客資金流向圖,用戶可清晰地了解黑客盜取資金后的動態。

英國傳奇藝術家Ralph Steadman將以NFT的形式出售插畫作品:4月22日消息,因與Hunter S. Thompson合作而聞名的前《滾石》雜志插畫師Ralph Steadman,正以NFT的形式在數字資產市場Niftygateway上出售一系列的動畫和靜態作品。此次銷售將于4月28日啟動。

據悉,該系列插畫是為了慶祝Steadman職業生涯中的關鍵時刻,包括了兩幅他與Thompson的合作有關的作品等。此次銷售NFT作品由Steadman與MTAPHR的創意團隊以及奧斯卡提名的動畫導演 Dave Mullins合作,后者負責動畫插圖的制作。原創音樂則由格萊美獎制作人 Matt Winegar提供。此外,Steadman的NFT銷售收入的一部分將捐贈給致力于減少對動物產品需求的環保組織WildAid。(RollingStone)[2021/4/22 20:46:14]

準備盜取資金的對象:即需要遷移的幣對FEG-WETH

Hempstead:零售需求可能促使SEC批準比特幣ETF:3月8日消息,ETF和對沖基金提供商IndexIQ的機構業務開發總監Chris Hempstead預測,隨著對產品零售需求的增長,比特幣ETF將會出現。在某個時候,當市場需求和投資者需求將鐘擺推向某個區域時,他們可能會重新審視它,并有不同的考慮因素。(Cointelegraph)[2020/3/9]

而取回的幣對卻是黑客創建的無價值的token0:0x2d4abfdcd1385951df4317f9f3463fb11b9a31df和有價值的token1:WETH

兩者的不一致,是導致該合約被攻擊的根本原因!

在這一步中,黑客首先通過lockToken鎖倉攻擊token,lockedToken變量會記錄鎖倉詳細信息,其中關鍵字段為withdrawAddress,該字段存在可以滿足后續migrate的權限判斷。

#Step3:

UniswapV3調用v3Migrator.migrate方法,遷移FEG-WETH流動性對。

在這一步中,UniswapV3Migrator合約在接收到TeamFinance中傳入的參數,會遷移UniswapV2的LP,燃燒LP,獲取底層資產$FEG和$WETH,根據轉換參數只有1%進入V3pool,其余99%退還給發送合約,TeamFinance將返回到token發送給攻擊合約。

Step3步驟拆解:

黑客調用TeamFinance得合約進行LP遷移,利用Step1中準備好的withdrawAddress和msgSender吻合,通過權限檢查。

由于TeamFinance的遷移邏輯沒有檢驗交易id與migrateparams的相關關系,黑客通過上面校驗后,真正遷移的是黑客輸入的params參數。

該參數指定的migrate為與黑客鎖倉token無任何關系的FEG-WETH交易對,且遷移數量為TeamFinance持有的全部LP,但參數指定只migrate1%。

此外,相同手法對其它3個流動性池進行了攻擊:

USDC到相關項目方,共計約1340萬美元。

此次攻擊事件,漏洞的本質原因是對輸入參數的校驗邏輯有問題。黑客通過鎖倉毫無價值的token,獲取了調用migrate接口的權限。進一步調用UniswapV3的migrate的參數,完全由黑客輸入,導致可以從其合約內遷移其他LP資產,結合UniswapV3的migrate處理是首先燃燒所有LP資產,再按照輸入的percentage進行遷移,并返還剩余資產,使得黑客可以通過只遷移1%資產,從而竊取剩余99%的資產。

總而言之鏈上安全無小事,歐科云鏈再次提醒:重要函數的參數校驗要仔細。建議在項目上線前,選擇類似鏈上衛士的專業安全審計團隊進行全方位審計篩查,最大化規避項目上線后的安全風險。

Tags:TEATEAMRATSTENextEarthSTEAMXRAT幣PolkaMonster

火星幣
在熊市中需要考慮的三大加密貨幣——XRP、ADA和DOGET_XRP

加密貨幣中持續的熊市出人意料地給交易員和投資者等加密貨幣常客的事務帶來了壓力。熊市是極端市場波動和負價格的漫長時期,因此該行業目前的情況不足為奇。然而,令人驚訝的是持續熊市的嚴重性.

1900/1/1 0:00:00
8V x CHZ 邀您一同觀賞世界杯 拿好禮!_CHZ

親愛的8V用戶: Chiliz(CHZ)是一種體育代幣化的加密貨幣,它透過使用區塊鏈支持的工具幫助娛樂和體育公司,可以透過Chiliz區塊鏈技術和代幣,賦予粉絲投票權——持有的代幣越多.

1900/1/1 0:00:00
想吃壽司(SUSHI)嗎?你應該先看看這些指標_SHI

截至11月3日,SUSHI代幣引起了以太坊鯨魚的極大興趣。據報道,這種興趣源于SushiSwap最近在Boba網絡上的部署 捕鯨 WhaleStats是一個致力于追蹤加密鯨魚的組織,于11月3日.

1900/1/1 0:00:00
Beosin:Skyward Finance 合約函數未正確校驗 token_account_ids 參數,導致攻擊者重復領取獎勵

ForesightNews消息,根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,NEAR生態項目SkywardFinance項目遭到攻擊.

1900/1/1 0:00:00
具有高增長潛力的前 3 種加密貨幣_比特幣

比特幣(BTC) 即使過去幾周比特幣的價值一直停留在20,000美元左右,專家預測未來價格將大幅上漲.

1900/1/1 0:00:00
Hotcoin關於恢復Theta Network(THETA)充提業務的公告_OTC

尊敬的用戶:THETA網絡升級已完成,Hotcoin現已恢復THETA的充值、提現業務。對您造成的不便深表歉意!感謝您對Hotcoin的支持與信任!HotcoinGlobal2022年11月4日.

1900/1/1 0:00:00
ads