比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DOT > Info

Polygon鏈上LibertiVault合約遭遇攻擊分析_USDC

Author:

Time:1900/1/1 0:00:00

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上LibertiVault合約遭遇攻擊,損失約123ETH和56,234USDT價值約29萬美元,以及以太坊鏈上35ETH和96223USDT價值約16萬美元,總共超45萬美元。技術人員分析發現,本次攻擊是由于LibertiVault合約存在重入漏洞所導致。

Polychain Capital計劃為第四只基金募集4億美元:金色財經報道,Polychain Capital正在與潛在投資者進行討論,并計劃為第四只基金募集4億美元。[2023/3/2 12:37:31]

1、攻擊者使用閃電貸借出500萬USDT,調用LibertiVault合約deposit函數進行質押,其質押邏輯會將質押的代幣一部分用于兌換,然后再計算鑄幣數量,鑄幣數量是根據和合約本次存入代幣量與合約存入之前的余額比例來進行計算的。

動態 | Poloniex將在分叉前1小時暫停ETH、USDC和ERC-20錢包的存取款業務:1月15日,Poloniex官方推特表示,將在以太坊君士坦丁堡分叉前大約一個小時暫停ETH、USDC和所有其他ERC-20錢包的存取款業務,并在分叉完成后立即重新啟用。會在硬分叉當天宣布具體的暫停時間。[2019/1/15]

2、而兌換操作swap會調用黑客的合約,此時黑客第一次重入調用deposit,并在此函數中二次重入,向合約打入250萬USDT。

動態 | Poloniex添加6種USDC相關交易對:Poloniex官方宣布添加以下交易對:XRP/USDC, XMR/USDC, STR/USDC, DOGE/USDC, LTC/USDC, 和ZEC/USDC。[2018/11/17]

3、二次重入結束后,合約會按照250萬USDT與之前合約的USDT余額比值為黑客鑄幣,第一次重入的deposit函數運行結束后,黑客又向其中打入了250萬USDT。

4、此時,執行完了外層deposit函數中的兌換操作,合約又會按照250萬USDT與合約USDT余額比值進行鑄幣。

5、問題就出在第四點,按理來說,第二次計算合約余額應該是之前的余額加上第一次打入的250萬余額來作為本次計算的參數,但這里是使用的重入的形式,合約余額在最開始就已經獲取了,所以參數并未改變,還是使用的原來的余額進行計算,導致給黑客鑄了大量的憑證代幣。

6、最后黑客移除憑證代幣,歸還閃電貸獲利。

Beosin

企業專欄

閱讀更多

金色財經

金色薦讀

Block unicorn

金色財經 善歐巴

區塊鏈騎士

Foresight News

深潮TechFlow

Tags:USDUSDCSDCUSDTgusd幣會因為什么漲跌AUSDCsdchainusdt幣交易怎么玩

DOT
遠離跨鏈橋 V神提倡使用原子交換:但它們真的好用嗎?_BTC

你如何將 BTC 轉換為 ETH?或者將 BTC 轉換為 ATOM?與許多人一樣,我通常將 ETH 存入中心化交易所(CEX),將其交易成 BTC,然后再將 BTC 轉移到鏈上錢包.

1900/1/1 0:00:00
美債危機與通貨膨脹的解決方案_ATRI

通貨膨脹的危害: 物價上漲:通貨膨脹會導致物價上漲,這會增加生活成本,降低人們的購買力。經濟不穩定:通貨膨脹會導致經濟不穩定,增加投資風險,可能導致企業盈利下降.

1900/1/1 0:00:00
加密貨幣崩潰與裁員:解讀地方領導者在構建創新生態系統的教訓_比特幣

作者:@Tonantzin_LC、markmuro1、Sifan_Liu;編譯:Block unicorn就在去年,似乎所有人都在談論加密貨幣——從名人到運動員,再到新聞主播和投資者.

1900/1/1 0:00:00
CEX難逃監管宿命 詳談DEX的困境與機遇_BSP

原文作者:Markus Schmitt 原文編譯:Luffy,Foresight News 摘要 智能合約區塊鏈非常適合運行交易所:它們將信任商品化,使托管、費用、價格和結算透明化.

1900/1/1 0:00:00
數字人民幣SIM卡硬錢包上線 碰一碰即付款 無電無網仍能支付_數字人

作者:葉曉珺 來源:每日商報“碰一碰”即付款!“SIM卡硬錢包”終于上線了!近日,中國移動、中國電信、中國聯通和中國銀行、工商銀行共同研發的數字人民幣SIM卡硬錢包正式上線數字人民幣A.

1900/1/1 0:00:00
晚間必讀 | 以太坊區塊空間未來的機遇與思考_NEX

你很可能已經在某個時候購買了公共加密資產,然而,一般人卻無法接觸到加密私募市場。很多司法管轄區都要求投資者在通過認證后才能投資私募市場.

1900/1/1 0:00:00
ads