2020年11月22日,以太坊DeFi项目PickleFinance遭受攻击,损失约2000万DAI。慢雾安全团队跟进相关事件并进行分析,以下为分析简略过程:
1、项目的Controller合约中的swapExactJarForJar函数允许传入两个任意的jar合约地址进行代币的兑换,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用户可以控制的变量,攻击者利用这个特性,将_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻击者设定的要抽取合约的DAI的数量,约2000万DAI。
持有1000+ ETH的地址数达到6,596,创21个月高点:12月18日消息,Glassnode数据显示,持有1000+ ETH的地址数达到6,596,创21个月高点。[2022/12/18 21:52:16]
2、使用swapExactJarForJar函数进行兑换过程中,合约会通过传入的_fromJar合约和_toJar合约的token()函数获取对应的token是什么,用于指定兑换的资产。而由于_fromJar合约和_toJar合约都是攻击者传入的,导致使用token()函数获取的值也是可控的,这里从_fromJar合约和_toJar合约获取到的token是DAI。
泰国SEC起诉五名制造虚假交易量的加密交易员:金色财经报道,泰国证券交易委员会(SEC)已经起诉了五名交易员,因为他们在加密货币交易所Bitkub和Satang公司制造了虚假的交易量。
根据官方发布的消息,监管机构对两名男性和位于曼谷的Bitkub也发出了民事制裁。此案中的三名罪犯被勒令支付24,161,292泰铢(63.6万美元),以偿还SEC的调查费用。
在与Satang Corporation相关的第二起案件中,监管机构已对LLC Fair Expo和一名男性发出民事制裁,要求支付12,080,646泰铢(318,000 美元)。(CoinDesk)[2022/9/27 22:33:57]
3.此时发生兑换,Controller合约使用transferFrom函数从_fromJar合约转入一定量的的ptoken,但是由于fromJar合约是攻击者控制的地址,所以这里转入的ptoken是攻击者的假币。同时,因为合约从_fromJar合约中获取的token是DAI,然后合约会判断合约里的资金是否足够用于兑换,如果不够,会从策略池中赎回一定量的代币然后转到Controller合约中。在本次的攻击中,合约中的DAI不足以用于兑换,此时合约会从策略池中提出不足的份额,凑够攻击者设定的2000万DAI。
数据:Alameda向FTX转入约900万枚USDC:7月4日消息,据PeckShield监测显示,Alameda FTX Deposit钱包地址(0x83a127952d266A6eA306c40Ac62A4a70668FE3BD)向FTX转入约900万枚USDC。[2022/7/4 1:48:45]
4.兑换继续,Controller合约在从策略池里提出DAI凑够攻击者设定的2000万DAI后,会调用_fromJar的withdraw函数,将攻击者在第三步转入的假ptokenburn掉,然后合约判断当前合约中_toJar合约指定的token的余额是多少,由于_toJar合约指定的token是DAI,Controller合约会判断合约中剩余DAI的数量,此时由于第三步Controller合约已凑齐2000万DAI,所以DAI的余额是2000万。这时Controller合约调用_toJar合约的deposit函数将2000万DAI转入攻击者控制的_toJar合约中。到此,攻击者完成获利。
来源:金色财经
标签:JARDAIROMTOKENJAR价格DAISYAS Roma Fan TokenMcLaren F1 Fan Token
今天要说的这个90后小伙,操作的是一个淘宝蓝海项目,实实在在的月收入万元,绝对不忽悠。如果你有时间就把这篇文章看下去,如果你觉得这还是一篇标题党文章,那就请你立刻关掉,这篇文章不适合你.
1900/1/1 0:00:00鸽子说币:11.22BTC晚间行情分析 在天才和勤奋两者之间,我毫不迟疑地选择勤奋,她是几乎世界上一切成就的催产婆.
1900/1/1 0:00:00原标题:Filecoin抵押背后的借贷潮2020年8月20日,最高人民法院发布新修订的《关于审理民间借贷案件适用法律若干问题的规定》并立即施行.
1900/1/1 0:00:00消息面: 据新华社北京11月21日消息,二十国集团领导人第十五次峰会第一阶段会议上表示,二十国集团要以开放和包容方式探讨制定法定数字货币标准和原则,在共同推动国际货币体系向前发展过程中,妥善应对各类风险挑战.
1900/1/1 0:00:00导一只新的风险管理比特币基金申请已于周四被提交了给美国证券交易委员会。文:JOSEPHYOUNG编译:Zion??????责编:Rose周四,摩根溪和ExosFinancial向美国证券交易委员会提交了一只新的比特币基金申请.
1900/1/1 0:00:00今日资讯: 南非金融部门行为监管局近日发布一份声明草案,将加密货币资产视为金融产品来对待。FSCA正在寻求对该提案的评论.
1900/1/1 0:00:00