北京时间2022年8月2日13点,CertiK安全团队监测到ReaperFarm的ReaperVaultV2合约被恶意利用,导致了价值超过160万美元的损失。
Blockstream:将自主开发比特币矿机:金色财经报道,比特币基础设施提供商 Blockstream 在社交媒体公布了 2023 年发展计划,包括拓展机构托管服务、将自主开发比特币矿机、以及探索可再生能源挖矿。
此前报道,Blockstream于一月底宣布完成 1.25 亿美元的可转换票据和担保贷款融资,以扩大其机构比特币挖矿托管服务。该公司首席执行官 Adam Back 透露其 2022 年收入强劲,比 2021 年增长了三倍。[2023/2/2 11:44:02]
攻击者利用ReaperVaultV2合约中的一个漏洞——可以销毁其他用户的vaultshare并提取代币,以此从多个vault提取了大量的代币。
动态 | 加拿大比特币交易所Bull Bullcoin加入Blockstream的Liquid交易网络:据CoinDesk 9月16日消息,Blockstream的Liquid交易网络刚刚加入另一个加密合作伙伴,即加拿大比特币交易所Bull Bullcoin。新的合作伙伴关系将允许Bull Bitcoin的用户与网络上的其他交易所进行互动。Blockstream 首席战略官 Samson Mow 表示 ,目前 Liquid 网络大约有 30 个成员,包括 Bitfinex、BITMex、OKCoin 等交易所,网络上流动资产总计 90 万美元。同时,作为合作的一部分,Bull Bitcoin 将在 Liquid 网络上发行资产 L-CAD,该代币是与加元挂钩,可被用于该交易所比特币购买折扣券。[2019/9/16]
截至北京时间2022年8月3日8点,160万DAI、62ETH以及200Matic已被存入TornadoCash。
Salesforce首席执行官:将于秋季Dreamforce大会上推出区块链产品:Salesforce.com首席执行官Marc Benioff表示,希望能在今年秋季Dreamforce大会上推出区块链产品。[2018/3/29]
攻击步骤
①攻击者部署了一个攻击者合约,通过该合约,攻击者可在一次交易中从Reapervault提取多个用户的资产。
②ReaperVaultV2合约并未检查shareowner与messagesender之间的关系,因此攻击者可以多次通过攻击者合约提取vault用户的资产。
③攻击者将从金库提取的代币换成DAI、ETH和Matic,并将其存入TornadoCash。
漏洞交易
漏洞交易之一:
https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5
其余漏洞交易:
https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a
漏洞分析
在ReaperVaultV2合约的`withdraw()`函数中,vaultshare所有者可以是msg.sender以外的账户。同时,所有者与msg.sender之间的关系或是allowance未被选中,意味着人们可以从vault提取其他用户的资产。
写在最后
本次攻击事件本可通过审计发现「缺乏访问控制」这一风险因素。该风险因素将被归类于严重等级的风险。
而除审计外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
标签:REAVAULTULT比特币STREAM价格BAYC Vault (NFTX)ult币行情最新价格比特币走势图最新今日价格
TRONSCAN最新数据显示,7月17日至7月23日,波场TRON账户数新增100万,总数达到104,078,094,正式突破1.04亿。波场TRON各项数据稳中前进,波场生态逐渐强大的同时,也将迎来更多交易量.
1900/1/1 0:00:00原文作者:SangeetPaulChoudary原文标题:Web3andtherevengeofthelongtail基于区块链的协议如何实现利基市场活动?这是我们需要一直思考的问题。Web2的早期承诺是建立在长尾理论的基础上.
1900/1/1 0:00:00Bitfinex已支持Tezos网络上的Tether(USDt)存取款我们很高兴地宣布,Bitfinex用户可以在UTC时间21/07/22上午10:00使用Tezos传输层在Bitfinex平台上存取USDt.
1900/1/1 0:00:00本周概览 -DeFi巨鲸账号0xb1持有者,KeyFi的CEO起诉Celsius的“庞氏局”,Celsius究竟有什么问题?-就业报告显示失业率保持在3.6%,就业率超过预期.
1900/1/1 0:00:00对冲基金三箭资本传出疑似破产,今日Terra研究员FatMan爆料三箭资本曾使用从机构贷款的款项,在机构不知情的情况下秘密转移Anchor赚取20%利率套现,在LUNA崩盘前至少持有上亿美元UST.
1900/1/1 0:00:00据官方数据,JustLendDAO存借规模现已突破38亿美金。其中,存款规模超36亿美金,借款规模超2.16亿美金.
1900/1/1 0:00:00