比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 以太坊 > Info

FTX:安全團隊:EGD Finance遭閃電貸攻擊,因計算獎勵的喂價機制過于簡單

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,BSC上的EGDFinance項目遭受黑客攻擊,導致其池子中資金被非預期的取出。慢霧安全團隊對此進行了分析,稱本次事件是因為EGDFinance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。具體分析如下:

安全團隊:MetaPoint(POT)宣布因遭黑客攻擊而暫停運營:金色財經報道,據CertiK監測,MetaPoint(POT)項目在其Telegram宣布因遭到黑客攻擊而暫停運營,其幣價已下跌78%以上。

BSC合約地址:0x3b5e381130673f794a5cf67fbba48688386bea86[2023/4/12 13:58:13]

1.由于EGDFinance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格。2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出。

安全團隊:FTX交易所遭到gas竊取攻擊事件技術分析:10月13日消息,據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。Beosin安全團隊第一時間對事件進行了分析,結果如下:

1.以其中一筆攻擊交易為例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。

3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

4. 1-3中的步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。

截止發文時,通過Beosin Trace追蹤發現,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。[2022/10/13 14:26:15]

此外,據派盾預警監測,此次攻擊事件中已有3.6萬BUSD被盜。

安全團隊:pancake-super[.]com、pancake-vr[.]com是釣魚網站:金色財經報道,PeckShield在社交媒體上稱,檢測到pancake-super[.]com、pancake-vr[.]com 是釣魚網站。它們都與0xF04B869F75680AB53C5965e6705E110dab5Db1A1有關。[2022/7/15 2:15:53]

Tags:FTXANCGASCLAIMPunk Vault (NFTX)Apple Financeugas幣最新資訊claim幣圈什么意思

以太坊
NFT:NFT域名提供商Unstoppable Domains推出iOS應用程序

據CoinDesk報道,NFT域名提供商UnstoppableDomains宣布推出iOS應用程序,用戶可直接在手機上創建并管理域名.

1900/1/1 0:00:00
元宇宙:扎克伯格:Meta元宇宙業務損失或會持續數年,但仍相信元宇宙是巨大機會

據Cointelegraph報道,在Meta的第二季度財報電話會議上,Meta首席執行官扎克伯格表示,元宇宙相關業務的損失可能會持續數年,直到VR應用程序及其元宇宙平臺足夠成熟.

1900/1/1 0:00:00
OIN:Coin Center:美財政部制裁Tornado Cash或違反正當程序及憲法權利

加密研究中心CoinCenter發布博客文章稱,美國財政部外國資產控制辦公室(OFAC)制裁TornadoCash可能在程序性與法律上存在缺陷.

1900/1/1 0:00:00
MER:Merkle Manufactory完成3000萬美元融資,a16z領投

據TheBlock報道,前Coinbase高管DanRomero周二表示,他的公司MerkleManufactory在由AndreessenHorowitz(a16z)領投的一輪融資中籌集了30.

1900/1/1 0:00:00
LOCK:三箭資本曾在破產前近四年時間里從Blockchain.com借入并償還超20億美元

據TheBlock報道,加密服務公司Blockchain.com首席戰略官CharlesMcGarraugh提交給法庭的宣誓書顯示,三箭資本曾在破產??前的近四年時間里.

1900/1/1 0:00:00
STE:STEPN推出生命值屬性,需達到滿值時運動鞋才能放置市場或轉出

據官方推特,MovetoEarn應用STEPN宣布新增生命值屬性。據介紹,生命值屬性類似于持久性,采用用雙衰減系統,以確保游戲在未來很長一段時間內保持可持續發展.

1900/1/1 0:00:00
ads