比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CRV:慢霧:Value DeFi 協議閃電貸攻擊簡要分析

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2020年11月15日,ValueDeFi的ValueDeFiMultiStables保險庫遭遇閃電貸攻擊,慢霧安全團隊于第一時間跟進并進行相關分析,以簡要的形式呈現給大家,供大家參考。

1.攻擊者首先從Aave中借出80000個ETH,為攻擊做準備;

2.攻擊者使用80000個ETH在UniswapWETH/DAI池中用閃電貸借出大量的DAI和在UniswapWETH/DAI兌換出大量的USDT;

慢霧:PREMINT攻擊者共竊取約300枚NFT,總計獲利約280枚ETH:7月18日消息,慢霧監測數據顯示,攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT,賣出后總計獲利約280枚ETH。此前報道,黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊,從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]

3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分的DAI進行充值,ValueMultiVaultBank合約中一共有3種資產,分別是3CRV、bCRV、和cCRV。ValueMultiVaultBank??合約在鑄幣的時候會將合約中的bCRV,cCRV轉換成以3CRV進行計價,轉化的途徑為bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的價格。轉換完成后,ValueDefi合約根據合約中總的3CRV的價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量;

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

4.攻擊者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的價格

慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

5.攻擊者在ValueMultiVaultBank??合約中發起3CRV提現,此時ValueMultiVaultBank??合約和第3步一樣,會先將合約中的bCRV,cCRV轉換成以3CRV計價,由于在第4步中,USDC/3CRV的價格已經被拉高,導致換算的過程中,ValueMultiVaultBank??合約中的bCRV,cCRV能換算成更多的3CRV,也就是說使用同等份額的mVUSD可以換取更多的3CRV;

6.拿到3CRV后,攻擊者到Curve的DAI/USDC/USDT池中使用3CRV換回DAI,并在Uniswap中兌換回ETH,然后歸還Aave的閃電貸。

總結:由于ValueDefi合約在鑄幣過程中將合約資產轉換成3CRV時依賴CurveDAI/USDC/USDT池中USDC/3CRV的價格,導致攻擊者可以通過操控CurveDAI/USDC/USDT池中USDC/3CRV的價格來操控mVUSD/3CRV的價值,從而獲利。

相關鏈接:

(1)分析樣本:

https://etherscan.io/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a

Tags:CRVUSD3CRVSDCcrv幣價格今日行情CUSDC幣3crv幣怎么賣PSDC幣

比特幣交易所
比特幣:澳本聰要求阻止Andreas Antonopoulos朗讀聲稱其犯欺詐行為消息內容

據Decrypt消息,澳本聰已經提出一項議案,要求阻止比特幣安全專家AndreasAntonopoulos朗讀145條聲稱澳本聰犯有欺詐行為的消息的內容,這些消息的署名是區塊鏈地址.

1900/1/1 0:00:00
比特幣:約翰·列儂之子抨擊反對者針對比特幣的數項指控

披頭士傳奇人物約翰·列儂的兒子SeanOnoLennon在推特上就比特幣反對者的的幾項主要指控進行了抨擊,這些指控包括“犯罪者使用的貨幣”、洗錢、“比特幣不是真的”.

1900/1/1 0:00:00
DAP:數據:上周波場TRON DApp活躍用戶數遙遙領先于眾公鏈

據DappReview網站數據顯示,上周波場TRONDApp活躍用戶數遙遙領先于眾公鏈。其中,昨日波場TRONDApp活躍用戶數為101447,以太坊DApp活躍用戶數為47309,EOSDAp.

1900/1/1 0:00:00
USD:DeFi項目DerivaDEX將推出保險挖礦并公布代幣模型概況

去中心化衍生品交易平臺DerivaDEX宣布將在近期推出保險挖礦計劃,并公布了代幣模型概況。DerivaDEX的保險挖礦計劃是一個用于DerivaDEX協議保險資金的獨特系統,由去中心化自治組織.

1900/1/1 0:00:00
元宇宙:騰訊主機安全(云鏡)捕獲新挖礦木馬LoggerMiner,可感染Docker容器

騰訊主機安全捕獲一個新的挖礦木馬LoggerMiner,該木馬在云上主機中攻擊傳播,會利用當前主機上的ssh賬號信息對其他主機發起攻擊,以控制更多系統.

1900/1/1 0:00:00
CLE:Circle推出主要平臺升級,包括數字美元賬戶等

Circle推出主要平臺升級,旨在將美元穩定幣帶入主流世界。Circle此前宣布推出一套新服務,旨在促進圍繞美元穩定幣構建的支付、商業和金融應用增長.

1900/1/1 0:00:00
ads