比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CRE:Cream Finance重入漏洞事件分析-ODAILY

Author:

Time:1900/1/1 0:00:00

前言

8月30日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議CreamFinance遭遇重入漏洞襲擊,損失超1800萬美元。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊涉及合約地址:

0x38c40427efbaae566407e4cde2a91947df0bd22b

0x0ec306d7634314d35139d1df4a630d829475a125

火幣全球站將于1月29日16:00移除CRE/HT等交易對:據官方公告,火幣全球站將于2021年1月29日16:00移除以下交易對:CRE/HT、DGB/ETH、EM/HT、HIT/ETH、LET/ETH。[2021/1/28 14:13:16]

受害涉及合約地址:

CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6

CEther:0xd06527d5e56a3495252a528c4987003b712860ee

M Credit CEO 歐嘉成:機構投資者關注長期收益 這是優勢所在:金色財經現場報道,12月19日下午,“尋找牛市盛宴同行者—印比特中國行杭州站”活動在杭州東方君悅酒店舉行,本次活動由印比特和金色財經聯合主辦,翼比特、幣信、螞蟻礦池、菠蘿礦機、人人礦場、胡安科技、M Credit和巴比特等協辦。

在題為“與世界級機構共舞,共享牛市盛宴”的圓桌論壇上,M Credit CEO 歐嘉成表示,機構無非是一種處理錢和資產的形式,機構和個人都有理財的需求。機構投資者關注長期收益,不會因為短期波動而擔心能不能回本。對礦工來說,前期投入的成本較高,并承擔幣價、礦機價格、用電穩定等多重風險,且礦業的頭部效應愈發明顯,個人與機構的錢的屬性不一樣。同時挖礦回本周期的影響力是相對的,不應過于關注長短,機構在時間性的抗風險能力更強。

他指出,礦業會向集中化、規模化、機構化發展,強調規模效應和精細化運營;而礦工的風險意識逐漸加強,對專業金融工具和產品的需求更加明顯。[2020/12/19 15:47:09]

Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2

聲音 | Morgan Creek創始人:數字貨幣世界提供的金融服務遠遠超過傳統金融系統:Morgan Creek創始人Anthony Pompliano發推稱:“我們仍處于比特幣和加密貨幣的采用階段,默認用戶體驗非常糟糕。這會隨著時間的推移而改變。但即使面臨這些挑戰,數字貨幣世界提供的金融服務仍遠遠超過傳統金融系統提供的服務。”[2019/11/11]

簡述攻擊流程

首先黑客通過合約0x38c4進行閃電貸借出啟動資金500ETH

動態 | 高盛BTC分析言論引發爭議 The Block分析師抨擊Morgan Creek創始人:高盛技術分析師Sheba Jafari之前所發布的比特幣價格分析報告在加密貨幣領域引發爭議。 Morgan Creek創始人Anthony Pompliano就該報告發推稱:“看來銀行們開始意識到比特幣的存在了。摩根大通和高盛最近都建議購買比特幣。每個銀行家都偷偷地想成為一個Bitcoiner!” 但Anthony的言論引發了The Block分析師Larry Cermak的強烈不滿,其轉發了Anthony的推文截圖并表示:“只有在加密領域,明目張膽地篡改事實才會在一小時內得到1300個贊(注:實時數據為3200個)。幾個分析師的意見就等于整個銀行的意見了?高盛雇有4000名分析師,他們已澄清說,這位分析師(Sheba Jafari)的觀點并不代表該行的觀點。我所要求的只是一些常識和理智上的誠實。不幸的是,Anthony似乎并未擁有任何一點。”[2019/8/13]

抵押ETH獲得憑證

通過合約0x38c4調用CErc20Delegator合約借出19,480,000AMP

通過重入漏洞繼續調用CEther合約借出355ETH

使用合約0x0ec3對合約0x38c4進行超額借貸清算

合約0x38c4轉移憑證給合約0x0ec3贖回約187ETH

歸還閃電貸

漏洞成因分析

獲利條件

borrowFresh函數在發生借貸時是先通過doTransferOut函數轉賬,再記錄最新變化

攻擊條件

doTransferOut函數包含的transfer函數會使用_callPostTransferHooks函數會回調調用合約的tokensReceived函數

總結

本次閃電貸安全事件主要是項目方在設計代幣時沒考慮到協議之間的兼容性引發的重入危機,其實在前段時間已經爆出擁有類似回調功能的ERC777代幣存在重入漏洞,如果項目方及時發現跟進,應該能減少甚至避免損失。

知道創宇區塊鏈安全實驗室再次提醒近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:CREETHHONANTCrevaCoinSETH幣Shon TokenGIANT

幣安app下載
區塊鏈:從河南暴雨、疫情反彈看區塊鏈“災疫”治理-ODAILY

災疫頻發,區塊鏈可以解決哪些問題?最近,河南遭到暴雨侵襲,強降雨一度讓鄭州等城市的運轉陷入停滯.

1900/1/1 0:00:00
REVV:Animoca Brands 的區塊鏈游戲 REVV Racing 內測版首發活動將提供價值 15 萬美元的獎品-ODAILY

AnimocaBrands的區塊鏈游戲REVVRacing內測版首發活動將提供價值15萬美元的獎品 TL;DR ●2021年8月11日,將公開發布REVVRacing的內測版.

1900/1/1 0:00:00
EVER:深度剖析如何基于IPFS,打造云計算平臺-ODAILY

世界的發展離不開新技術的更新迭代,Web3.0帶來的變化把互聯網帶入了一個全新的發展水平,計算機科學家和互聯網專家認為,這些變化將使互聯網變得更加智能,我們的生活也將變得更加容易.

1900/1/1 0:00:00
ETH:鏈上指標看漲,BTC有望繼續上行-ODAILY

BTC又經歷了強勁的一周,價格最高漲至46000美元上方,已經站上了牛熊分界線技術指標——周線EMA21(圖中綠色均線,當前對應價格為40344美元).

1900/1/1 0:00:00
MOON:Polkadot杭州聚會,你錯過了嗎?-ODAILY

昨日,Moonbeam中文社區經理Yuki作為代表參加了由PolkaWorld在杭州舉辦的線下活動.

1900/1/1 0:00:00
NBA:【Deribit期權市場播報】0830——提前布局-ODAILY

收錄于話題 #每日期權播報播報數據由Greeks.live格致數據實驗室DataLab和Deribit官網提供.

1900/1/1 0:00:00
ads