宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > FTX > 正文

慢雾:Punk Protocol被攻击因其CompoundModel合约Initialize函数未做重复初始化检查

作者:

时间:1900/1/1 0:00:00

据慢雾区消息,去中心化年金协议PunkProtocol在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。

慢雾:Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道,慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析,以下将分析结论同步社区:

Hacker#1 攻击黑客(盗取最大资金黑客),获利金额:约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金;12,500 BNB 存款到 Tornado Cash;约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1,获利金额:1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中,未进一步转移。

Hacker#3 攻击模仿者-1,获利金额:356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2,获利金额:246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3,获利金额:584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525,后无进一步转移。

Hacker#6 攻击模仿者-2,获利金额:2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4,获利金额:5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH,其中 0.71 支付给 Flashbots,剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。

慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。

总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。

标签:ACKFORFORGEUSDBACKSTABDOGEFORINTFORGE币USDT币提现判多久

FTX热门资讯
MLB正与NFT平台Candy Digital合作发行30个MLB体育场NFT

据Cointelegraph8月24日消息,美国职业棒球大联盟正与NFT体育收藏品平台CandyDigital合作发行30个MLB体育场的NFT。据悉,最新的NFT于8月23日上线,描绘了匹兹堡海盗队的主场PNC体育场的数字插图.

1900/1/1 0:00:00
黑人宇航员 "Aku"成为第一个进入太空的NFT艺术作品

据Decrypt8月5日消息,前美国职业棒球大联盟球员及艺术家MicahJohnson2月份首次推出黑人宇航员"Aku"NFT.

1900/1/1 0:00:00
黑客在Banksy官网给虚假NFT打广告,收藏大佬也“中招”了

本文来自?BBC,原文作者:JoeTidyOdaily星球日报译者|余顺遂一名黑客在知名涂鸦艺术家?Banksy?官方网站上发布假冒?NFT广告,并诱一名英国收藏家购买该?NFT。目前黑客已经向其退还?33.6?万美元.

1900/1/1 0:00:00
以太坊半天销毁3000 ETH,NFT项目成燃烧大户

注:原文来自bankless,作者是WilliamM.Peaster。昨晚,随着以太坊伦敦硬分叉升级的正式完成,EIP-1559的效用已经开始发挥.

1900/1/1 0:00:00
a16z就基础设施法案致信美国政府,呼吁对其中的加密税收监管措施进行修正

原标题:《a16z致美国政府公开信:加密网络可以修复现有系统,不要让政策缺陷牺牲我们的未来》美国政府正在寻求通过加密货币征税来增加收入.

1900/1/1 0:00:00
一文了解ZKopru:使用零知识证明的Optimistic Rollup

隐私性和可扩展性研究团队都在填补零知识证明的前沿研究和以太坊应用开发之间的空白。我们最近研究的一个重点领域是?zkopru,这是一套为隐私交易节约gas的新协议.

1900/1/1 0:00:00