据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT。DODO表示,团队已下线相关资金池建池入口,该攻击仅影响DODOV2众筹池,除V2众筹池之外,其他资金池均安全;团队正在与安全公司合作调查,并努力挽回部分资金。更多后续消息请关注DODO官方社群公告。慢雾安全团队在第一时间跟进并分析,下面将细节分析给大家参考。攻击细节分析
1亿枚TUSD从未知钱包转入Binance:金色财经报道,据WhaleAlert监测,100,000,000枚TUSD (价值99,805,250美元)从未知钱包转入Binance。[2023/5/10 14:54:30]
通过查看本次攻击交易,我们可以发现整个攻击过程非常短。攻击者先将FDO和FUSDT转入wCRES/USDT资金池中,然后通过资金池合约的flashLoan函数借出wCRES和USDT代币,并对资金池合约进行初始化操作。
Web3 平台 Lisk 推出面向开发者加速器计划:金色财经报道,Web3 平台 Lisk 推出了一项加速器计划,旨在为希望在其生态系统中开发应用的开发者提供最高 25 万瑞士法郎(27 万美元)的赠款,总金额未披露。该平台的 Javacript SDK 旨在让开发人员开发与 Lisk 兼容的侧链,Lisk 表示将特别关注致力于开发特定区块链解决方案的初创公司。[2023/4/3 13:42:26]
为何存入FDO和FUSDT代币却能成功借出wCRES和USDT,并且初始化资金池合约呢?是因为资金池的闪电贷功能有漏洞吗?接下来我们对flashLoan函数进行详细分析:
标普已将对Coinbase的股票评级从BB下调至BB-:金色财经报道,评级机构标准普尔已下调对Coinbase的长期信用评级和高级无担保债务评级,从BB(表明不利的商业、金融和经济状况存在重大不确定性)下调至BB-(距离投资级又低了一步),且这两种评级都被认为是垃圾债券,理由是交易量下降和监管风险导致盈利能力疲软。此前报道,Coinbase公布重组计划,表示将裁员950人,预计重组总费用为1.49亿至1.63亿美元。(CoinDesk)[2023/1/12 11:07:38]
通过分析具体代码我们可以发现,在进行闪电贷时会先通过_transferBaseOut和_transferQuoteOut函数将资金转出,然后通过DVMFlashLoanCall函数进行具体外部逻辑调用,最后再对合约的资金进行检查。可以发现这是正常闪电贷功能,那么问题只能出在闪电贷时对外部逻辑的执行上。通过分析闪电贷的外部逻辑调用,可以发现攻击者调用了wCRES/USDT资金池合约的init函数,并传入了FDO地址和FUSDT地址对资金池合约进行了初始化操作。
安全团队:Island Party项目有耗尽钱包风险:金色财经报道,CertiK表示,Island Party项目有耗尽钱包风险,提醒用户不要铸造或批准任何交易。[2022/9/11 13:22:28]
到这里我们就可以发现资金池合约可以被重新初始化。为了一探究竟,接下来我们对初始化函数进行具体的分析:
通过具体的代码我们可以发现,资金池合约的初始化函数并没有任何鉴权以及防止重复调用初始化的逻辑,这将导致任何人都可以对资金池合约的初始化函数进行调用并重新初始化合约。至此,我们可以得出本次攻击的完整攻击流程。攻击流程
1、攻击者先创建FDO和FUSDT两个代币合约,然后向wCRES/USDT资金池存入FDO和FUSDT代币。2、接下来攻击者调用wCRES/USDT资金池合约的flashLoan函数进行闪电贷,借出资金池中的wCRES与USDT代币。3、由于wCRES/USDT资金池合约的init函数没有任何鉴权以及防止重复调用初始化的逻辑,攻击者通过闪电贷的外部逻辑执行功能调用了wCRES/USDT资金池合约的初始化函数,将资金池合约的代币对由wCRES/USDT替换为FDO/FUSDT。4、由于资金池代币对被替换为FDO/FUSDT且攻击者在攻击开始时就将FDO和FUSDT代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。总结
本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。参考攻击交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
标签:USDSDTUSDTCREfoin币可以转usdt吗泰达币官网回收USDT吗usdt币圈最新消息Concretecodes
就在加密市场牛市正酣之时,作为站在区块链世界最高处的拓荒者之一,原EOS联合创始人BM又开启了新征程。3月2日,BM发布了其新项目ClarionOS的介绍,并在Github上更新了新项目代码.
1900/1/1 0:00:00大家知道,在以太坊生态系统中,目前最大的挑战就是低吞吐量和高gas费以及延迟这几个问题。波卡和NEAR这类公链虽然号称可以解决此类问题。但还看不到挑战以太坊生态的苗头.
1900/1/1 0:00:00RTX3060上市半个月,就经历了在“被破解谣传”和“辟谣”中几起几落,价格也随之跌宕起伏。BITMAIN将上线新款矿机蚂蚁E9,效率相当于25块RTX3080显卡:7月6日消息,BITMAIN(比特大陆)将于今日上线新款矿机蚂蚁E9.
1900/1/1 0:00:00编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。时至今日,NFT市场的发展已经走到了新拐点,包括技术、社区和活跃度等都无一例外的表现强大势能,这样的势能也引起资本市场的关注,包括灰度基金、对冲基金Coatue.
1900/1/1 0:00:00NFT很火,火到一双袜子可以卖16万美元,五个单词拍出250万美元,一个在传统世界看起来普通的画家画作拍出了近1000万美元。但NFT+链游却缺少一个扛鼎之作。但要说潜力选手,不得不提到MyNeighborAlice.
1900/1/1 0:00:00编者按:本文来自巴比特资讯,作者:王佳健,星球日报经授权发布。这两天,存储板块的龙头FIL开始突突突了,而且是逆势上涨,截至发稿价格接近70刀。火币交易所数据显示,FIL的交投非常活跃,24小时成交额接近33亿人民币,位列第3.
1900/1/1 0:00:00
宇宙链