比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > XRP > Info

USD:慢霧:Harvest.Finance 被黑事件簡析

Author:

Time:1900/1/1 0:00:00

2020年10月26號,據慢霧區消息HarvestFinance項目遭受閃電貸攻擊,損失超過400萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費

2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC,此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小

動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中,充值的同時Harvest的Vault將鑄出fUSDC,而鑄出的數量計算方式如下:

聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的underlyingBalanceWithInvestment一部分取的是Curve中的investedUnderlyingBalance值,由于Curve中investedUnderlyingBalance的變化將導致Vault鑄出更多的fUSDC

5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常

6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC。

7.隨后攻擊者開始重復此過程持續獲利

其他攻擊流程與上訴分析過程類似

參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877

總結:此次攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量,從而使攻擊者有利可圖。

Tags:USDEOSSDCUSDCFDUSDIEOSSDC幣CUSDC

XRP
比特幣:分析師:CRV和CRV有望飆漲,比特幣或測試11200-11400美元區間

加密分析師兼交易員Micha?lvandePoppe表示,山寨幣CurveDaoToken和Swipe似乎正準備大漲.

1900/1/1 0:00:00
CHA:ChaiNext:比特幣回踩

北京時間9月29日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報1014.08點,過去24小時下跌1.29%,成交額495.17億美元,成交較前24小時增加11.40%.

1900/1/1 0:00:00
ETH:Harvest Finance閃電貸攻擊,損失金額$ 1,600,000

據推特網友發現,疑似有黑客借用閃電貸,使用20ETH從Harvest中套現超400萬美元,此次總轉賬費為5.19ETH。此次黑客使用的初始ETH來源為以太坊匿名轉賬平臺Tornado.cash.

1900/1/1 0:00:00
HNT:俄議會官員:俄羅斯政府沒有反對區塊鏈的聲音

據Cryptonews消息,俄羅斯國家杜馬金融市場委員會主席AnatolyAksakov表示,政府中沒有反區塊鏈的聲音,主要行業參與者仍對加密貨幣充滿熱情,并相信明年將開始加密貨幣試驗.

1900/1/1 0:00:00
OIN:KuCoin Futures Has Launched USDT Margined ORDI, WOJAK, POGAI Contracts

KuCoinFuturesHasLaunchedUSDTMarginedORDI,WOJAK,POGAIContractsKuCoin2023年05月13日16:00微信掃一掃分享到朋友或朋友圈.

1900/1/1 0:00:00
區塊鏈:區啟動0xMaki全職領導項目投票,東京時間晚8點前和社區共同起草最終條款

Sushiswap社區已經發起一項提案投票,旨在聘請0xMaki來領導該項目,此提案有CinneamhainVenutres合伙人AdamCochran提交.

1900/1/1 0:00:00
ads