安全實驗室監測到以太坊上的DeFi協議IndexedFinance遭遇閃電貸襲擊,損失超1600萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。攻擊過程簡述
分析攻擊交易:
0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa
首先使用閃電貸通過Uniswap和ShushiSwap獲取啟動資金
2.通過借貸的AAVE/COMP/CRV/MKR/SNX代幣兌換礦池DEFI5中的UNI代幣(合約規定不允許轉賬超過礦池一半的代幣存量以及兌換超過三分之一的代幣存量,所以黑客進行了多次兌換)
MakerDAO正在對Maker章程進行投票:金色財經報道,MakerDAO官方發文稱,正在對Maker章程進行投票,其中包括范圍和范圍框架,以確定DAO、Maker協議和DAI的明確運營和改進領域,還概述了貢獻者可以集中精力改進這些系統的具體領域。[2023/3/25 13:25:37]
3.通過將UNI代幣用于添加流動性鑄造DEFI5LP代幣
4.向DEFI5礦池添加SUSHI代幣
5.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
模塊化區塊鏈項目Avail脫離Polygon,將由聯創Anurag Arjun接管:3月16日消息,模塊化區塊鏈項目Avail將完全從Polygon脫離,此外,Polygon聯合創始人Anurag Arjun將離職不并接管Avail。Polygon于2020年底啟動了Avail項目,并于2021年年中公開推出。Avail發言人表示,Arjun參與開發了該項目,作為分拆的一部分,它現在由Arjun全資擁有的一家公司實體收購。
據悉,Avail是一個模塊化的區塊鏈,允許開發人員構建可定制和可擴展的應用程序。Avail解耦了數據可用性層,使鏈開發人員更容易專注于執行和結算。Avail 目前在測試網上運行,主網將在不久的將來跟進。作為分拆的一部分,Avail將創建一個新的非營利基金會Avail基金會,并最終將治理權移交給社區。[2023/3/17 13:09:03]
6.通過將SUSHI代幣用于添加流動性鑄造DEFI5LP代幣
肯尼亞提議對加密貨幣征稅:金色財經報道,對肯尼亞加密貨幣交易商征收所得稅的《資本市場法》修正案已提交議會審議。該法案稱,“所得稅法適用于持有時間少于 12 個月的加密貨幣,資本利得稅法適用于持有時間超過 12 個月的加密貨幣。” 該法案還計劃從加密貨幣交易收取的所有費用中扣除 20% 的消費稅,并要求加密貨幣持有者向資本市場管理局 (CMA) 提交信息,包括購買和出售加密貨幣的日期。2022 年資本市場(修正案)法案旨在對加密貨幣交易所和數字錢包征稅,并征收類似于對銀行交易征收的消費稅的交易稅。聯合國貿易和發展會議(UNCTAD) 6 月發布的報告顯示,肯尼亞 8.5% 的人口(或425萬人)擁有加密貨幣。(Business Daily Africa)[2022/11/21 7:52:52]
7.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣
8.歸還閃電貸并將獲利轉移
漏洞成因分析
通過攻擊簡述獲取有效信息
1.黑客有意控制礦池中UNI代幣總量
2.黑客向礦池中添加了新代幣SHSHI
3.黑客通過鑄造、燃燒LP代幣獲利
通過源碼分析漏洞成因
1.檢查源碼發現函數extrapolatePoolValueFromToken被用于尋找礦池中第一個初始化且具有權重的代幣,據官方解釋該函數作用于以該代幣描述整個礦池的價值——即如果礦池中有10個UNI,權重為10%,那么該礦池總價值為100UNI。
由此黑客控制礦池中UNI代幣總量得到解釋,該行為是為了控制礦池總價值。
2.檢查源碼發現函數setMinimumBalance和函數gulp可以添加新代幣并獲得極大的權重。?由此黑客向礦池添加新代幣SUSHI得到解釋,該行為是為了獲得可控且具有極大權重的代幣。
綜合分析
合約設計中礦池的總價值被礦池中第一個初始化且具有權重的代幣用來描述,該代幣總量可被攻擊者控制
合約中可添加新代幣,新代幣可占據極大權重,添加新代幣方式可被攻擊者控制
合約中的資產可通過鑄造、燃燒LP代幣控制,鑄造LP代幣方式可被攻擊者控制
綜述該漏洞成因就是用一種代幣來描述整個礦池的價值,官方也給出了修改方案:取消該模式替換為用礦池中所有代幣余額的組合值來描述。
總結
此次攻擊屬于對礦池價值的單一描述,很容易被他人操控,開發人員應避免此類事件。
知道創宇區塊鏈安全實驗室?提醒各項目方,合約安全作為直接保障資金的防線需要得到最高的重視,合約審計、風控措施、應急計劃等都有必要切實落實。
本文來源Messari,作者ChaseDevens在經歷了長期的停滯之后,DeFi再次出現在加密領域的主要敘事中.
1900/1/1 0:00:00尊敬的用戶:?????????????BKEXGlobal即將上線PLAY,詳情如下:上線交易對:PLAY/USDT幣種類型:BEP20?充值功能開放時間:已開放交易功能開放時間:2021年10.
1900/1/1 0:00:00撰文:Footprint分析師Bella() 日期:2021年10月 數據來源:HowtoDiscoverValuableProjects(https://footprint.
1900/1/1 0:00:00據TheBlock10月27日消息,雖然Robinhood在第三季度受到其加密業務放緩的打擊,但其加密部門RobinhoodCrypto的首席運營官ChristineBrown持樂觀態度.
1900/1/1 0:00:00ALPEX每周新聞更新,數字資產交易領導者10月18日-22日發布:2021年10月26日歡迎來到ALPEX10月第4周周報!ALPEX作為全球數字資產交易的領航者,以“安全、穩定、可靠”著稱.
1900/1/1 0:00:00文章來源:Messari文章作者:Messari研究員&?孫杰文章翻譯:Blockunicorn投資加密貨幣可能是有益的,也可能是有壓力的,或者更有可能是兩者的結合.
1900/1/1 0:00:00