鏈捕手消息,Fantom鏈上GrimFinance項目遭遇閃電貸攻擊,損失超3000萬美元,慢霧團隊對事件進行分析如下:
1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。
2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。
慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。
2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]
3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。
慢霧:PREMINT攻擊者共竊取約300枚NFT,總計獲利約280枚ETH:7月18日消息,慢霧監測數據顯示,攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT,賣出后總計獲利約280枚ETH。此前報道,黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊,從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]
攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。
慢霧:BSC鏈上項目BXH遭受攻擊分析:10月30日消息,據慢霧區情報,2021年10月30日,幣安智能鏈上(BSC)去中心化交易協議BXH項目遭受攻擊,被盜約1.3億美金。經慢霧安全團隊分析,黑客于27日13時(UTC)部署了攻擊合約0x8877,接著在29日08時(UTC)BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限。30日03時(UTC)攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出。30日04時(UTC)0x5614暫停了資金庫。因此BXH本次被盜是由于其管理權限被惡意的修改,導致攻擊者利用此權限轉移了項目資產。[2021/10/30 6:22:02]
4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。
此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。慢霧團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。(來源鏈接)
來源:KainWarwick推特 整理:念青,鏈捕手 前段時間,Synthetix創始人KainWarwick曾與三箭資本聯合創始人SuZhu就公鏈發展形勢進行激烈辯論.
1900/1/1 0:00:00鏈捕手消息,區塊鏈孵化器ConsenSysMesh宣布2022年Ethereal峰會將在3月9日至3月11日在懷俄明州杰克遜市舉行.
1900/1/1 0:00:00作者:BenSchecter,RabbitHole運營負責人 編譯:谷昱 未來,普通人很可能不會為公司工作。相反,人們將通過玩游戲、學習新技能、創作藝術或策劃內容等活動以非傳統方式賺取收入.
1900/1/1 0:00:00作者:頭等倉的聰聰 來源:?頭等倉區塊鏈研究院 項目概況 近兩年在DeFi熱潮的引領下,產品不斷更新迭代,越來越多的投資者涌入DeFi市場.
1900/1/1 0:00:001月10日,Opyn的新衍生品產品Squeeth主網將在以太坊上發布。1月10日,P2E游戲Starbots將于1月10日-12日在Solrazr等平臺進行IDO.
1900/1/1 0:00:00鏈捕手消息,加密基礎設施初創公司CionDigital宣布完成1200萬美元種子輪融資,本輪融資由GreenVisorCapital和645Ventures共同領投.
1900/1/1 0:00:00