宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 中币下载 > 正文

慢雾分析 Equalizer Finance 被黑:FlashLoanProvider 合约与 Vault 合约不兼容

作者:

时间:1900/1/1 0:00:00

链捕手消息,6月7日EqualizerFinance遭受闪电贷攻击。慢雾安全团队分析如下:

1.EqualizerFinance存在FlashLoanProvider与Vault合约,FlashLoanProvider合约提供闪电贷服务,用户通过调用flashLoan函数即可通过FlashLoanProvider合约从Vault合约中借取资金,Vault合约的资金来源于用户提供的流动性。

慢雾创始人:网传MetaMask发生大规模被盗事件并不属实:4月18日消息,针对社区传言 MetaMask 不安全的言论,慢雾创始人余弦表示,今日 MetaMask 钱包开发人员 Taylor Monahan 的一条盗币攻击长推文(thread)在加密社区广泛传播,但实际其并未特指是 MetaMask 存在漏洞导致,唯一共同点是在 2014 年-2022 年期间创建密钥。有人没仔细看 Taylor 这个 thread,开始传播 MetaMask 不安全的谣言,煽风点火让大家弃用 MetaMask。可见大家是多么的容易恐慌,也有人在带节奏,平时养好安全习惯才是关键。[2023/4/18 14:11:29]

2.用户可以通过Vault合约的provideLiquidity/removeLiquidity函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受Vault合约中的流动性余额与流动性凭证总供应量的比值影响。

慢雾首席信息安全官:近期多起供应链攻击或由同一团伙所为,目标为加密货币产业:8月26日消息,慢雾首席信息安全官(Twitter ID 为 @IM_23pds)在 Twitter 上表示,近期多起供应链攻击或由同一团伙所为,受影响的服务商包括 Lastpass、Twilio、Okta、Cloudfare,且该团伙目标应为加密货币产业。[2022/8/26 12:49:39]

3.以WBNBVault为例攻击者首先从PancekeSwap闪电贷借出WBNB

Bingbon与慢雾科技达成安全战略合作:据官方消息,数字资产衍生品交易平台Bingbon 与慢雾科技达成安全战略合作,双方将针对数字货币行业中的底层公链安全研究、链上数据分析、威胁情报同步等多个环节保持密切合作,进一步保障Bingbon平台及区块链生态安全。Bingbon现已入驻慢雾区,并发布“安全漏洞与威胁情报赏金计划”。Bingbon 一直重视平台安全,关于安全风控,以超高标准投入,旨在打造一个业内安全稳定、公平公正、便捷高效的交易服务平台。

始于2018 年,Bingbon 是一家全球性的数字资产衍生品交易服务平台,用户覆盖亚洲、欧洲、北美洲和大洋洲等 37 个国家和地区,Bingbon 为用户提供简单、易用、专业的数字资产衍生品交易产品与服务。[2020/7/15]

4.通过FlashLoanProvider合约进行二次WBNB闪电贷操作,FlashLoanProvider会先将WBNBVault合约中WBNB流动性转给攻击者,随后进行闪电贷回调。

5.攻击者在二次闪电贷回调中,向WBNBVault提供流动性,由于此时WBNBVault中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。

6.攻击者先归还二次闪电贷,然后从WBNBVault中移除流动性,此时由于WBNBVault中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。

7.攻击者通过以上方式攻击了在各个链上的Vault合约,耗尽了EqualizerFinance的流动性。

此次攻击的主要原因在于EqualizerFinance协议的FlashLoanProvider合约与Vault合约不兼容,慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。

标签:ULTVAULTWBNBBNBSakai VaultSPUNK Vault (NFTX)wbnb和bnb区别和联系SHIBABNB币

中币下载热门资讯
NFT 铸造平台 REBASE 即将推出 reBASE APP

链捕手消息,NFT铸造平台REBASE即将推出reBASEAPP,旨在通过地理定位技术以弥合现实世界和虚拟世界之间的差距,使用户可以与NFT以及所处的物理环境进行交互,此外.

1900/1/1 0:00:00
赵长鹏分析当前加密市场格局,从5项要点认为市场终将复苏

链捕手消息,币安CEO赵长鹏在日前举办的《零点论坛》活动上,谈到了当前的加密货币现状与复苏,以下为其中5项要点:1、市场崩盘最糟糕的时期已经过去。尽管项目仍在遭受市场崩盘的影响,但最严重的影响已经承担了.

1900/1/1 0:00:00
Web3 去中心化存储协议 CESS 将出席 Polkadot Decoded 会议

链捕手消息,Web3去中心化存储协议CESS将出席于6月28日举办的PolkadotDecoded会议。本次会议上,CESS将在杭州、纽约、布利诺斯埃利斯会场上发表演讲.

1900/1/1 0:00:00
每周要闻精选 | Binance Labs 负责人与执行董事离职;OpenSea 前产品负责人因涉嫌内幕交易被逮捕

整理:麟奇,链捕手 重要资讯 1、韩国当局传唤Terra开发商TerraformLabs全体员工进行调查5月30日消息,据JTBC报道称.

1900/1/1 0:00:00
零X干货铺:关于 Celsius Network 100 万个以太坊仓位「资不抵债」的几点看法

作者:零X干货铺 事情背景是推特用户@yieldchad声称Celsius的ETH仓位已经「资不抵债」,核心逻辑是Celsius的100万ETH中,只有约27%是以随时可取的ETH,另外的73%中:44%以stETH的形式存在.

1900/1/1 0:00:00
Solana 生态借贷协议 Solend 已临时禁用其 Main Pool 的 USDC、USDT 和 SOL 借款

链捕手消息,Solana生态借贷协议Solend已临时禁用其MainPool的USDC、USDT和SOL借款.

1900/1/1 0:00:00