比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

損失200萬美元 DeFi 協議0vix Protocol遭受閃電貸攻擊是怎么回事_GHST

Author:

Time:1900/1/1 0:00:00

2023年4月28日,據Beosin-EagleEye態勢感知平臺消息,0vixProtocol項目遭受閃電貸攻擊,損失約為200萬美元。0VIX在Twitter上證實了此次攻擊,并表示“正在調查當前情況”。

Beosin安全團隊第一時間對事件進行了分析,結果如下。

Cover Protocol疑似因獎勵合同漏洞損失200萬美元:推特網友DeFi LATAM今日表示,由于獎勵合同中的一個漏洞,CoverProtocol損失了200萬美元。此外,鏈上數據顯示,已有攻擊者(0xf05Ca...943DF)利用Cover合約共增發了約1萬枚COVER,并且已將其換成了WBTC和DAI等資產。[2020/12/28 15:54:34]

事件相關信息

攻擊交易

0x10f2c28f5d6cd8d7b56210b4d5e0cece27e45a30808cd3d3443c05d4275bb008

攻擊者地址

0x702ef63881b5241ffb412199547bcd0c6910a970

動態 | EOS競猜類游戲遭遇黑客攻擊 損失2000枚EOS:Beosin成都鏈安預警:近日,根據成都鏈安區塊鏈安全態勢感知系統檢測發現,攻擊者xs***z及所屬多個子賬號,在幾天內持續對某競猜類游戲進行攻擊并獲利2000枚EOS,已于昨晚將盈利轉入big.one交易所。經過成都鏈安技術團隊詳細分析,攻擊者使用的攻擊手法仍為通過交易堵塞攻擊鏈上隨機數,值得一提的是此次攻擊者為了躲避檢測,使用了模擬挖礦的方式進行攻擊,每次獲利僅0.1EOS左右,使得安全檢測難度增加。Beosin成都鏈安在此提醒所有EOS 合約開發者關注合約安全,不要使用不安全的隨機數方案。[2019/2/21]

攻擊合約

0x407feaec31c16b19f24a8a8846ab4939ed7d7d57

動態 | ToBet今日凌晨遭遇回滾攻擊 損失22000個EOS:據 IMEOS 報道,ToBet 今日凌晨 2 點 42 分遭到黑客惡意攻擊,損失 22000 個 EOS,攻擊賬號為 kfexzmckuhat 。

ToBet團隊發公告表示本次黑客攻擊造成的損失全部由團隊承擔,不會影響玩家的分紅和獎勵。[2018/12/19]

被攻擊合約

0x738fe8a918d5e43b705fc5127450e2300f7b08ab

攻擊流程

1.第一步,攻擊者通過閃電貸借出大量的資金,為后面的攻擊做準備。

美國聯邦調查局因輕視比特幣導致損失20億美元:美國聯邦調查局因不重視比特幣,損失20億美元。2013年,FBI從網上黑市Silk Road創始人Ross William Ulbricht手上繳獲了144,336個比特幣,之后根據法院命令以每個比特幣334美元的價格將它們售出,共獲得約4820萬美元。但現在,這些比特幣的市值已經高達23.8億美元。[2017/12/15]

2.第二步,攻擊者鑄造憑證幣,已允許借出其他資產。

3.第三步,攻擊者向vGHST地址轉入1656000枚GHSTToken。

4.后續清算黑客的借貸頭寸,清算借入的頭寸用于取回原始抵押品。

5.最后攻擊者償還閃電貸。

漏洞分析

本次攻擊黑客利用了VGHSTOracle預言機漏洞,因為VGHSTOracle預言機獲取的價格是通過vGHST合約的convertVGHST函數去獲取的,而convertVGHST函數中的計算依靠于合約中的GHSTToken數量。

在操控價格前ghst為1038332409246369136,如下圖:

攻擊者向vGHST地址轉入1656000枚GHSTToken后,ghst為1785061331510841538,如下圖:

由于抬高了價格,已至于黑客可以清算借入的頭寸用于取回原始抵押品。

資金追蹤

截止發文時,攻擊者通過跨鏈協議從matic轉移到以太坊上,目前被盜資金存放在:

https://etherscan.io/address/0x702Ef63881B5241ffB412199547bcd0c6910A970。BeosinKYT反洗錢分析平臺正在對被盜資金進行監控。

總結

針對本次事件,Beosin安全團隊建議:合約開發時,因避免預言機被操控,建議使用更加安全的預言機來預言價格。項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

Tags:EOSHSTGHSTSINNEOS價格highstreet幣價格highstreet幣最新進展SingularDTV

火幣交易所
顛覆性創造 賦能百業生態 - HIGGS推出WEB3.0電腦_區塊鏈

作為一家技術創新驅動的公司,Higgstechnology團隊致力于為全球用戶提供更加安全、可信、高效和可持續的解決方案,為客戶和合作伙伴創造更大的價值.

1900/1/1 0:00:00
“Hololive”在日本成功上市,虛擬偶像如何成為元宇宙產業破圈的“ChatGPT”_HOL

來源:新浪新聞 2022年11月30日,總部位于美國加利福尼亞州舊金山的OpenAI發布了一個名為ChatGPT的自然語言生成式模型,提供以對話方式進行的交互服務.

1900/1/1 0:00:00
Cobo COO:AI 與區塊鏈的融合將共同釋放 Web3 潛力_COB

AI與區塊鏈的融合可以發揮彼此優勢,推動下一代互聯網的發展。這是一個充滿活力、快速演進的領域,對于投資者和企業家來說意味著巨大的增長和創新潛力.

1900/1/1 0:00:00
熊市重襲還是短暫修正 12張圖解讀加密行業“迷之四月”_比特幣

作者:TheBlock研究主管@Lars編譯:Jordan,PANews在經歷了表現不俗的2023年一季度后,加密行業并未繼續高歌猛進,4月份再次陷入低迷,有人認為熊市并未完全結束.

1900/1/1 0:00:00
比特幣“雙喜臨門”:減半敘事上線 生態又迎來新時代_bitcoin

不知不覺間,伴隨著「非典型熊市」的不斷變換,加密世界中始終不曾褪色的「減半」敘事逐步臨近——當前區塊高度距離比特幣剩余減半時間已不足一年,減半時間預計為2024年4月28日.

1900/1/1 0:00:00
什么是Rug Pull 我們又該如何甄別避免_PUL

隨著加密貨幣投資的興起,詐騙也隨之興起。加密世界中最常見的騙局之一是rugpull。本文將從什么是RugPull,它的不同類型,以及如何識別和避免這些欺詐行為等方面展開介紹.

1900/1/1 0:00:00
ads