宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容

作者:

时间:1900/1/1 0:00:00

据慢雾区消息,6月7日,EqualizerFinance遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:1.EqualizerFinance存在FlashLoanProvider与Vault合约,FlashLoanProvider合约提供闪电贷服务,用户通过调用flashLoan函数即可通过FlashLoanProvider合约从Vault合约中借取资金,Vault合约的资金来源于用户提供的流动性。2.用户可以通过Vault合约的provideLiquidity/removeLiquidity函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受Vault合约中的流动性余额与流动性凭证总供应量的比值影响。3.以WBNBVault为例攻击者首先从PancekeSwap闪电贷借出WBNB4.通过FlashLoanProvider合约进行二次WBNB闪电贷操作,FlashLoanProvider会先将WBNBVault合约中WBNB流动性转给攻击者,随后进行闪电贷回调。5.攻击者在二次闪电贷回调中,向WBNBVault提供流动性,由于此时WBNBVault中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。6.攻击者先归还二次闪电贷,然后从WBNBVault中移除流动性,此时由于WBNBVault中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。7.攻击者通过以上方式攻击了在各个链上的Vault合约,耗尽了EqualizerFinance的流动性。此次攻击的主要原因在于EqualizerFinance协议的FlashLoanProvider合约与Vault合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。

慢雾:Nomad事件中仍有超过9500万美元被盗资金留在3个地址中:8月2日消息,慢雾监测显示,Nomad攻击事件中仍有超过9500万美元的被盗资金留在3个地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120万枚DAI、103枚WBTC等约800万美元的加密资产,该地址也负责将1万枚WETH转移到另一地址以及将其他USDC转移;第二个地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28万枚ETH、1.02万枚WETH、80万DAI等约4700万美元的加密资产;第三个地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6万USDC后兑换为了DAI,目前有约3970万美元的加密资产。

目前慢雾经过梳理后,无法将地址3与其他两个地址连接起来,但这些攻击具有相同的模式。[2022/8/2 2:53:04]

慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

动态 | 慢雾:10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示,过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击,手法包括但不限于:第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施,例如:1. 密切注意第三方 JS 链接风险;2. 提币地址应为白名单地址,添加时设置双因素校验,用户提币时从白名单地址中选择,后台严格做好校验。此外,也要多加注意内部后台的权限控制,防止内部作案。[2019/11/1]

标签:VAULTULTWBNBBNBSPUNK Vault (NFTX)VAULTS价格wbnb币是什么BNB存在合法吗

比特币最新价格热门资讯
为什么跟单张数与带单者不同?

尊敬的唯客用户您好! 常见问题1 为什么跟单张数与带单者不同?带单者A8:20开始带单一笔杠杆100,张数90的BTC/USDT。跟单者B8:20跟单A,杠杆设置5倍,张数130,实际却只下了33张.

1900/1/1 0:00:00
PEARCOIN开通HECO链HT和USDT的公告

亲爱的用户: PEARCOIN已于2022年5月31日15:00正式开通HECO链HT和USDT资产的充提功能.

1900/1/1 0:00:00
美国SEC希望在Ripple案中阻止XRP持有人协助法庭

金色财经报道,美国证券交易委员会已通知法院,它计划对XRP持有人要求成为法庭之友的请求提出异议。由于即将到来的假期和其他简报截止日期,SEC要求法官AnalisaTorres将XRP持有者请求的期限延长至6月7日.

1900/1/1 0:00:00
LUNA重启2.0,还打算碰吗?

相信各位小伙伴多年后,回顾22年的市场时,Terra(LUNA)将是一个无法绕开的名字,作为增经的市值前十,一度近乎归零的公链,其崩盘速度是极快的,影响是非常大的,尤其是韩国那边.

1900/1/1 0:00:00
DeFi分析师:近230亿美元的ETH 2.0质押资金不会在PoS过渡后立即流动

6月5日消息,Etherscan数据显示,目前有12,787,637枚ETH锁定在以太坊2.0合约中。以太坊2.0合约持有大量ETH验证器的资金,因为需要32枚ETH才能成为一个验证者器。每一天都有相当数量的验证器在合约中锁定资金.

1900/1/1 0:00:00
六月抗暑計劃:註冊享空投,闖關瓜分10,000 USDT獎池!

亲爱的8V用户: 炎热的夏季来临,每天看着行情涨跌,心情跟着起起伏伏,即使夏季炎热,也不受影响!今年夏季,8V为各位币圈爱好者准备了盛大活动"六月抗暑计划:注册享空投,闯关瓜分10,000USDT奖池!",活动时间共为三周.

1900/1/1 0:00:00