宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > DYDX > 正文

慢雾:BonqDAO 黑客攻击事件简析

作者:

时间:1900/1/1 0:00:00

针对今早BonqDAO项目遭黑客攻击事件,慢雾安全团队分析:

1.BonqDAO平台采用的预言机来源是TellorFlex自喂价与Chainlink价格的比值,TellorFlex价格更新的一个主要限制是需要价格报告者先抵押10个TRB才可以进行价格提交更新。而在TellorFlex中可以通过updateStakeAmount函数根据抵押物的价格进行周期性的更新价格报告者所需抵押的TRB数量。

慢雾:6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息,慢雾发推称,自6月24日至6月28日,Web3生态因安全问题遭遇攻击损失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

2.由于TellorFlex预言机合约的TRB抵押数额一开始就被设置成10个,且之后没有通过updateStakeAmount函数进行更新,导致攻击者只需要抵押10个TRB后就能成为价格报告者并通过调用submitValue函数修改预言机中WALBT代币的价格

慢雾:正协助Poly Network追查攻击者,黑客已实现439万美元主流资产变现:7月2日消息,慢雾首席信息安全官23pds在社交媒体发文表示,慢雾团队正在与Poly Network官方一起努力追查攻击者,并已找到一些线索。黑客目前已实现价值439万美元的主流资产变现。[2023/7/2 22:13:24]

3.攻击者对价格进行修改后调用了Bonq合约的createTrove函数为攻击合约创建了trove,该trove合约的功能主要是记录用户抵押物状态、负债状态、从市场上借款、清算等

慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

4.紧跟着攻击者在协议里进行抵押操作,接着调用borrow函数进行借款,由于WALBT代币的价格被修改而拉高,导致协议给攻击者铸造了大量BEUR代币

5.在另一笔攻击交易中,攻击者利用上述方法修改了WALBT的价格,然后清算了市场上其他存在负债的用户以此获得大量的WALBT代币。

6.根据慢雾MistTrack分析,1.13亿WALBT已在Polygon链burn并从ETH链提款ALBT,后部分ALBT通过0x兑换为ETH;部分BEUR已被攻击者通过Uniswap兑换为USDC后通过Multichain跨链到ETH链并兑换为DAI。

慢雾安全团队分析认为,此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。截止目前,94.6万ALBT已被兑换为695ETH,55.8万BEUR已被兑换为53.4万DAI。黑客仍在持续兑换ALBT为ETH,暂未发现资金转移到交易所等平台,MistTrack将持续监控黑客异动并跟进拉黑。

标签:USDUSDCSDCALBTMUSDcusdc币是什么usdc币与usdt币哪个好ALBT币

DYDX热门资讯
万字简析 Web3 项目的法律合规事宜:Coinbase 的全球监管合规以及 a16z 的 DeFi 监管

作者:Web3小律 2021年4月14日,CoinbaseGlobal,Inc.通过直接上市的方式成功登入纳斯达克,成为在美国上市的第一家加密资产综合金融服务商.

1900/1/1 0:00:00
Web3 游戏中的创造者经济:从游戏到平台,用户生成内容的挑战

原文标题:《TheCreatorEconomyInGaming》作者:JoelJohn、Siddharth编译:深潮TechFlow今天我们要探讨的是游戏.

1900/1/1 0:00:00
Foresight 年终盘点:传统巨头的 Web3 探索之路

作者:angelilu,ForesightNews传统巨头没办法再忽视Web3的崛起,作为在自身领域获得了最多的资源也是最有能力率先探索神秘的Web3世界的公司,从DeFi、NFT到元宇宙.

1900/1/1 0:00:00
2023 年 ZKR 和 OR 的首次论战:EVM 等效是下限,而不是上限?

作者:念青,ChainCatcher从去年下半年以来,zk-Rollup扩容项目开始集中发力,不断追赶进度,相关的方案和项目也开始涌现,也在获得更多的资金和关注度.

1900/1/1 0:00:00
浅析 Uniswap V4 可能为 DeFi 带来什么变化?

原文作者:LincolnMurr、MaryLiu原文来源:比推BitpushNews最近,加密社区盛传顶级去中心化交易所?Uniswap?正在开发其协议的下一版本Uni?V4?.

1900/1/1 0:00:00
KEY3.id 上线多链同域名转账,联合 KuCoin Wallet、CoinHub Wallet 、 Wallet3 发起新年多链转账活动

作者:KEY3.id KEY3.id在1月12日正式支持多链同域名解析,首批支持Ethereum、BSC、TRON、Polygon、BNBChain、Solana等主要公链.

1900/1/1 0:00:00