北京时间2022年4月15日11点18分,CertiK审计团队监测到RikkeiFinance被攻击,导致约合701万元人民币资产遭受损失。
由于缺乏对函数`setOracleData`的访问控制,攻击者将预言机修改为恶意合约,并获取了从合约中提取USDC、BTCB、DAI、USDT、BUSD和BNB的权限。攻击者随后将这些代币全部交易为BNB,并通过tornado.cash将这些BNB转移一空。
比特币支付应用Strike扩展到超过65个国家:金色财经报道,比特币支付提供商Strike的创始人兼首席执行官Jack Mallers表示,正在将其应用从目前的美国、萨尔瓦多和阿根廷基地扩展到65个以上的国家。Strike应用程序使用比特币和闪电网络来提供全球支付和汇款服务。该应用现在采用了全新的用户界面,还让用户能够持有BTC和USDT的资金。[2023/5/20 15:14:56]
攻击步骤
①攻击者向rBNB合约发送了0.0001个BNB以铸造4995533044307111个rBNB。
②攻击者通过公共函数`setOracleData()`将预言机设置为一个恶意的预言机。
③由于预言机已被替换,预言机输出的rTokens价格被操纵。
④攻击者用被操纵的价格借到了346,199USDC。
比特币快速支付应用Strike推出全球汇款功能:12月6日消息,比特币快速支付应用Strike宣布推出全球汇款功能“Send Globally”,通过与非洲支付平台Bitnob合作实现了对非洲的即时支付。
此前消息,比特币快速支付应用Strike完成9000万美元融资,由Ten31领投,华盛顿大学圣路易斯捐赠基金会、怀俄明大学捐赠基金会和Susquehanna参投。Strike是基于闪电网络的加密支付应用,该公司致力于在日常支付方面挑战信用卡巨头Visa和万事达卡。(Business Wire)[2022/12/6 21:25:56]
⑤攻击者将步骤4中获得的USDC换成BNB,并将BNB发送到攻击合约中。
⑥攻击者重复步骤4和5,耗尽BTCB、DAI、USDT和BUSD。
⑦攻击者使用函数`setOracleData()`再次改变预言机,还原了该预言机的状态。
比特币支付应用Strike完成9000万美元融资:9月27日消息,基于比特币闪电网络建立的加密支付应用 Strike 完成 9000 万美元融资,本轮融资由 Ten31 领投,华盛顿大学圣路易斯捐赠基金会、怀俄明大学捐赠基金会和 Susquehanna 参投。
Strike 是基于闪电网络的加密支付应用,该公司致力于在日常支付方面挑战信用卡巨头 Visa 和万事达卡。[2022/9/27 22:34:25]
合约漏洞分析
SimplePrice预言机:
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
Cointroller:https://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code
支付公司Strike允许美国用户以最低0.50美元价格定投比特币:12月10日消息,支付公司Strike周四宣布推出一种美元成本平均 (DCA) 产品,除夏威夷和纽约的用户外,美国用户可以用低至0.50 美元价格定投比特币,无需任何费用,支持每月、每周、每天和每小时进行。Strike 创始人兼首席执行官Jack Mallers表示:定投功能使我们的用户能够为世界上表现最好的资产部署最可靠、最高效的投资策略之一。此前报道,Strike在10月宣布允许其美国用户将他们的全部或部分薪水转换为BTC。(coindesk)[2021/12/10 7:29:58]
资产地址:Rtoken0x157822ac5fa0efe98daa4b0a55450f4a182c10ca
新的预言机:
0xa36f6f78b2170a29359c74cefcb8751e452116f9
动态 | 比特币富豪Erik Finman推出比特币投资APP:据Coinpost消息,年仅20岁的比特币富豪Erik Finman已推出比特币投资APP“Coinbits”,该APP应用“微投资”战略,投资者每天至少可以投入1美元的比特币。系统以自动设定的金额进行比特币投资,用户可以随时停止或自由进出。[2019/5/24]
原始价格:416247538680000000000
更新后的价格:416881147930000000000000000000000
RikketFinance是利用Cointroller中的SimplePrice预言机来计算价格的。然而,函数`setOracleData()`没有权限控制,也就是说它可以被任何用户调用。攻击者使用自己的预言机来替换原有的预言机,并将rToken的价格从416247538680000000000提升到4168811479300000000000000。
资产去向
攻击者在两次交易中获得了2671枚BNB。攻击者已使用tornado.cash将所有的代币进行了转移。
其他细节
漏洞交易:
●https://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44
●https://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
相关地址:
●攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻击者合约:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●恶意预言机:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
●攻击者合约:
0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
●恶意预言机:
https://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f
https://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9
●被攻击预言机地址:
https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code
写在最后
该次事件可通过安全审计发现相关风险。CertiK的技术团队在此提醒大家,限制函数的访问权限是不可忽略的一步。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了3200家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!
SupraOracles很高兴地宣布与myMessage建立合作伙伴关系,myMessage是一种具有用户激励功能的去中心化社交媒体和数据存储协议.
1900/1/1 0:00:00北京时间2022年3月9日21:50,CertiK安全专家团队检测到FantasmFinance抵押池被恶意利用。攻击者铸造了大量的XFTM代币,并将其交易为ETH,总损失约为1000ETH.
1900/1/1 0:00:00撰文:FootprintAnalytics分析师Amanda数据来源:FootprintAnalytics-2021TokenReview本文是FootprintAnalytics区块链年报的一部分.
1900/1/1 0:00:00DAOrayakiDAO研究奖金池:随着DAO的发展,我们迎来一个新的工作时代,许多项目面临着共同的问题,即确定一个可扩展的公式来补偿他们的贡献者。当社区只有五个核心贡献者时,有效的方法可能不会随着社区的发展而起作用.
1900/1/1 0:00:00去中心化的自治组织旨在削弱中心化的权威和控制。DAO由社区共同治理,采用智能合约为组织制定具体的规章制度。简而言之,DAO为社群集体决策提供了一个透明和去中心化的模式.
1900/1/1 0:00:00有一种流行的独创网络的策略,我喜欢称之为"始于功能,终于社交网络"。最开始,用一个单人工具吸引用户,然后随着时间的推移,让他们参与到网络社交中。该工具有助于聚集最初的用户群体.
1900/1/1 0:00:00
宇宙链