BTC/HKD-1.51%
ETH/HKD+0.11%
LTC/HKD-3.83%
DOT/HKD-2.34%
ADA/HKD-4.08%
SOL/HKD-0.24%
XRP/HKD-1.08%
DOGE/US-3.48% 
北京時間2022年4月21日下午3時15分,CertiK審計團隊監測到ZEED項目被攻擊,造成了104萬美金的財產損失。被盜取資金被轉移至一合約中,而該合約具有自我銷毀功能,因此該操作無法逆轉,資金無法被追回。
攻擊步驟
①攻擊者合約從HO-SWAPLP收到662枚YEED代幣。
②這662枚YEED代幣被發送到BSC-USD-YEED。由于收費機制的存在,一些收費代幣也將被發送到3個LP對,分別是:BSC-HO-YEED2;BSC-USD-YEED2,BSC-ZEED-YEED2。
Espresso Sequencer測試網版本Doppio已對公眾開放:8月5日消息,Espresso Sequencer測試網版本Doppio已對公眾開放,本次公開發布主要包括兩方面內容:將Espresso Sequencer demo版本與Polygon zkEVM的分支公開發布,用戶可以向在去中心化的Espresso Sequencer上運行的Polygon zkEVM分支提交交易。;發布Doppio測試網的基準測試結果。[2023/8/5 16:20:10]
③由于費用計算出錯,一些YEED代幣也將被錯誤地創建/發送到LP。
④從這一刻起,每個LP就處于不平衡狀態。在每個LP合約中,都有著與其他代幣相較過多的YEED代幣。
ADAMoracle預言機已通過Certik安全審計:11月16日消息,首個支持廣域節點喂價的去中心化預言機ADAMoracle已通過CertiK的安全審計,CertiK是業內知名的專注于區塊鏈安全審計的機構,使用嚴密且徹底的網絡與軟件安全技術識別安全漏洞,ADAMoracle預言機通過審計代表著在規避安全漏洞上更具技術能力,有效保障了交易的安全性。
ADAMoracle作為實現跨鏈并基于硬件服務器提供喂價服務的廣域節點預言機網絡,其核心功能是鏈接成千上萬的硬件服務器作為喂價節點,構建一個安全、可信、精準、防止女巫攻擊、可自我維護的去中心化預言機網絡,以圖靈智能化取代傳統預言機,是業內首個采用“廣域節點喂價”機制的去中心化預言機。[2021/11/16 21:55:37]
⑤然后,攻擊者將在每個LP上不斷循環調用skim(to:LP)函數。該函數是為了重新調整LP內的兩種代幣的數量,將多余的代幣發送到to參數。由于攻擊者配置的目的地是LP本身,不平衡將不斷增加,更多的獎勵代幣將被創建。
Balancer社區提議將AMPL流動性挖礦上限提升至1000萬美元:Balancer社區提議將AMPL流動性挖礦上限從300萬美元提升至1000萬美元。
當前AMPL/USDC智能池總流動性為880萬美元,而AMPL的流動性為610萬美元,已經超過300萬美元的流動性上限,因此社區成員提出該提案。投票將從北京時間凌晨兩點開始,如果投票通過將在北京時間12月14日早上8點生效。[2020/12/11 14:54:06]
每一次的轉移都會:
從一種LP發送YEED代幣到另外一種LP。
向LP發送因錯誤產生的YEED代幣獎勵
動態 | Cere Network完成350萬美元的種子融資:據CoinDesk消息,基于區塊鏈的客戶關系管理初創公司(CRM) Cere Network剛剛完成了一輪350萬美元的種子融資。在Binance Labs、Neo Global Capital和Arrington XRP Capital等眾多公司的支持下,Cere Network在紐約開設了辦事處,并將于柏林區塊鏈周期間宣布在柏林設立創新實驗室。[2019/8/20]
通過以上方式,攻擊者保持了LP內代幣的不平衡,并且每次都會增加LP內YEED代幣的數量。
比如,我們可以看到在BSC-ZEED-YEED2LP中,最初的YEED的數量是96個。
而當攻擊者調用skim(to:attacker_contract)以后,LP中的YEED余額為368,560。
最后一次調用,則將368,560枚代幣發送給了攻擊者。
攻擊者對3個不同的貨幣對進行處理,總數為87,479,473枚YEED代幣:
83,127,354YEED來自BSC-USD-YEEDLP對。
3,983,869YEED來自BSC-HO-YEEDLP對。
368,560YEED來自BSC-ZEED-YEEDLP對。
⑥然后,攻擊者進行多次互換,將其收益轉換為BSC-USD。
漏洞分析
攻擊者通過向LP對發送代幣,破壞了YEED項目內LP代幣的平衡。因此,任何人都可以調用skim()函數,從而把多余的代幣發送給用戶。
如果正確計算金額,則一切正常。然而,在最重要的發送獎勵步驟中,發送給每個接收者的獎勵是rewardFee。這意味著在此條件下,并不是獎勵獲得者理應獲取了獎勵費用x1,而是在N次轉移過程中獲得了獎勵費用xN次。
比如,用戶A向用戶B發送了100個YEED,如果rewardFee是10。
用戶B收到90獎勵
LPBSC-USD-YEED2收到10獎勵
LPBSC-ZEED-YEED2收到10獎勵
LPBSC-HO-YEED2收到10獎勵
這樣以來,就有20枚代幣被錯誤地憑空創建了。
而真正的YEED獎勵機制應該運營如下:
50%的獎勵費用發送到_balances(LPBSC-USD-YEED2)
25%的獎勵費用發送到_balances。
25%的獎勵費用發送到_balances(LPBSC-HO-YEED2)。
寫在最后
此次事件造成了104萬美金的損失。由于資金在合約中,而合約具有自我銷毀功能,所以該操作無法復原,即任何人都無法再取出這筆財產,包括攻擊者本身。通過審計,我們可以了解到發送到LP的代幣將破壞LP的平衡,并且審計也能發現獎勵計算機制的錯誤。
2021年,數字資產市場快速擴張,總價值飆升至超過2萬億美元。然而,同年,犯罪分子利用監管弱點從不斷擴大的生態系統中吸走了創紀錄的140億美元.
1900/1/1 0:00:00簡介 Curve協議,一種基于以太坊平臺的去中心化交易所,主要聚焦于穩定幣、封裝資產等的交易。相對于其他DEX,Curve提供的交易對更集中,擁有極低的滑點和手續費,可以滿足巨額的資產交易需求.
1900/1/1 0:00:00像去中心化自治組織(DAO)這樣的自治實體是獨特的,而且與美國傳統的法律實體在很大程度上是不兼容的.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00據最新消息,USDD存款挖礦現已上線JustLend,用戶只需在JustLend存入USDD就可獲得JST+USDD存款挖礦獎勵.
1900/1/1 0:00:00一、上周行業動態 上周加密市場繼續呈回撤態勢,地緣局勢持續緊張,歐美股市遭遇大跌,并且由于俄羅斯宣布接收比特幣作為能源支付手段,伴隨而來的便是美國加緊對加密市場進行監管.
1900/1/1 0:00:00
比特幣行情
