比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

ARK:慢霧分析 AutoShark 被黑:黑客利用 AutoShark 策略池機制分兩步完成攻擊

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區分析,幣安智能鏈DeFi項目AutoSharkFinance被黑,導致代幣價格閃崩。慢霧團隊針對攻擊過程分析如下:

由于AutoShark策略池的機制,攻擊者需要事先存入一定數量的LP代幣到策略池中,為后續攻擊做準備,所以整個攻擊其實分成了2步,這里主要分析的是第2筆的攻擊交易。

攻擊步驟如下:

1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB;

慢霧:針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息,慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認,火幣本著負責任披露信息的策略,對本次事件做以下說明:本次事件是小范圍內(4000人)的用戶聯絡信息泄露,信息種類不涉及敏感信息,不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致,相關用戶信息于2022年10月8日已經完全隔離,日本站與火幣全球站無關。本次事件由白帽團隊發現后,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待,切勿傳謠。[2023/7/1 22:12:01]

2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK,同時池中WBNB的數量增多;

慢霧安全預警:Nacos出現遠程代碼執行漏洞攻擊案例,請相關方及時升級:金色財經報道,據慢霧區消息,Nacos 出現遠程代碼執行漏洞攻擊案例。Nacos 是 Alibaba 開源的一個更易于構建云原生應用的動態服務發現、配置管理和服務管理平臺,幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。Nacos 在處理某些基于 Jraft 的請求時,采用 Hessian 進行反序列化,但并未設置限制,導致應用存在遠程代碼執行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用 cluster 集群模式運行受影響;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式啟動均受到影響。加密貨幣行業有大量平臺采用此方案,請注意風險,并將 Nacos 升級到官方最新新版本。[2023/6/9 21:25:29]

3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中,為后續攻擊做準備;

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數,該函數會根據用戶獲利的資金從中抽出一部分手續費,作為貢獻值給用戶獎勵SHARK代幣,這部分操作在SharkMinter合約中進行操作;

5.SharkMinter合約在收到用戶收益的LP手續費之后,會將LP重新拆成對應的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;

6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中,SharkMinter合約在移除流動性后再添加流動性的時候,使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加,這部分余額包含攻擊者在第3步打入SharkMinter的余額,導致最后合約獲取的添加流動性的余額是錯誤的,也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中;

7.SharkMinter合約在獲取到手續費的數量后,會通過tvlInWBNB函數計算這部分手續費的價值,然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候,使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中,Panther池中WBNB的數量已經非常多,導致計算出來的LP的價值非常高;

8.在LP價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣;

9.攻擊者后續通過賣出SHARK代幣來換出WBNB,償還閃電貸。然后獲利離開。

Tags:ARKSHARKSHABNBArk RivalsStarSharksTechshare TokenBNBLION

火幣網下載官方app
加密貨幣:新華社:比特幣價格大跌凸顯加密貨幣波動性風險

鏈捕手消息,據新華社報道,受利空消息打壓,比特幣等加密貨幣價格19日一度暴跌。分析人士認為,加密貨幣市場尚不成熟,易受消息面影響,預計未來加密貨幣仍將維持高波動性,投資者需保持謹慎.

1900/1/1 0:00:00
比特幣:中國礦工停電,哈希率首創新低,比特幣或將遷徙至德克薩斯州

本文來源于cointelegraph,作者:馬丁·楊鏈捕手消息,隨著中國的采礦業務開始停電,比特幣的哈希率已降至11月初以來的最低水平。比特幣的網絡哈希率自5月中旬達到峰值以來已經下降了46%.

1900/1/1 0:00:00
VIT:Vitalik建議狗狗幣與以太坊合作提升可擴展性

鏈捕手消息,以太坊聯合創始人VitalikButerin在LexFridman的播客節目中表示:他喜歡狗狗幣,建議包括狗狗幣在內的Meme代幣和以太坊達成合作,提升其可擴展性.

1900/1/1 0:00:00
區塊鏈:一覽主要跨鏈資產橋:如何讓你的資產流動起來?

本文發布于PANews,原文標題:《跨鏈橋種草集!我該如何讓自己的資產跨鏈流動起來》,撰文:蔣海波最近,Fantom?上火熱的高APY挖礦讓很多追求高收益的DeFi農民們跨鏈前往掘金.

1900/1/1 0:00:00
數字貨幣:周小川五道口澄清數字貨幣三大誤解(附演講全文)

本文來源于騰訊財經。 5月22日,清華大學五道口金融學院名譽院長、央行原央行周小川在“2021清華五道口全球金融論壇”上發表了“數字貨幣和電子支付系統”的主題演講.

1900/1/1 0:00:00
ALC:拆解DeFi借貸的四個創新實驗

本文來自Glassnode,作者為LukePosey,并經由胡韜編譯。借貸是DeFi生態最重要基石之一,Aave、Compound和Maker等項目長期處于主導地位,但同時也出現許多頗具創新的借.

1900/1/1 0:00:00
ads